Technologie i Firma

LastPass - nasze hasła nie były tam bezpieczne

Wojciech Kulik | Redaktor serwisu benchmark.pl
4 komentarze Dyskutuj z nami

Ale już są. Właściciele usługi ekspresowo załatali odkrytą lukę. Co dalej?

LastPass

LastPass to bardzo popularny menedżer haseł, z którego korzystają miliony użytkowników na całym świecie. Specjalista ds. cyberbezpieczeństwa, Mathias Karlsson odkrył, że jeszcze w tym tygodniu hasła wielu z nich były bardzo mocno zagrożone. Co z naszym bezpieczeństwem?

Luka odkryta w przeglądarkowym pluginie przez Karlssona umożliwiała mu wykradzenie haseł z kont użytkowników w LastPass. O co chodziło? Autor przeanalizował skrypt, który odpowiada za funkcję autouzupełniania i zauważył, że adres w takiej formie: http://avlidienbrunn.se/@twitter.com/@hehe.php jest interpretowany przez LastPass jako Twitter, a nie Avlidienbrunn.

Co to oznacza? Ni mniej, ni więcej jak to, że gdy Karlsson wszedł pod ten adres, LastPass wysłał na stronę Avildienbrunn dane logowania do Twittera. Co więcej, nie jest to podobno jedyna okryta przez niego luka. (Więcej szczegółów tutaj).

Co dalej? Karlsson poinformował właścicieli LastPass o swoim odkryciu, a ci załatali lukę w ciągu doby. Choć nie prowadzą oni programu nagród za odnajdywanie błędów, podziękowali autorowi kwotą 1000 dolarów. 

A co z nami? Przede wszystkim należy zastanowić się kilka razy zanim zdecyduje się na skorzystanie z autouzupełniania. To nie pierwsza luka wykryta w tego typu funkcji. Czy powinniśmy jednak zrezygnować z używania z LastPass lub innych menedżerów haseł? Nie wygląda na to, by była taka konieczność. Zaleca się też korzystanie z wieloetapowego uwierzytelniania. 

Źródło: Labs Detectify, LastPass

Komentarze

4
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    luckyboy
    Najważniejsze hasła mam w głowie, a te bezwartościowe w LastPass.
    1
  • avatar
    Nullmaruzero
    LastPass to tykająca bomba. Już go raz złamali i hasła poszły w eter, z tym że niby zaszyfrowane. Teraz takie luki mają.

    Jak komuś bardzo zależy na w miarę bezpiecznym trzymaniu haseł, ale chce mieć możliwość logowania do stron bez ich wklepywania/kopiowania ręcznie to zawsze może używać KeePass z pluginem KeePassHttp który wysyła hasło do danej strony (jeśli zezwolisz) do pluginu w przeglądarce (PassIFox dla FF albo chromeIPass dla Chrome/Chromium-based) po localhoście. Dodatkowo można też w drugą stronę, dodać nowe hasło do nowej strony. Minus taki że KeePass musi siedzieć otwarty i odblokowany w tle.
    Według mnie, jeśli ktoś potrafi zadbać o swój system i infrastrukturę sieci to takie rozwiązanie jest jak najbardziej OK. Lepsze to niż trzymanie haseł w dużych chmurach które są łakomym kąskiem dla hakerów.
  • avatar
    Nieogarniamzycia
    Ja uzywam aplikacji, ktora dziala offline, moje hasla sa w pliku na telefonie (zaszyfrowanym oczywiscie), jak zgubie to moja wina, w przeciwnym wypadku nie bede sie martwil ze moje hasla wlasnie wyciekly, bo ktos nie potrafi zadbac o serwery