Ale już są. Właściciele usługi ekspresowo załatali odkrytą lukę. Co dalej?
LastPass to bardzo popularny menedżer haseł, z którego korzystają miliony użytkowników na całym świecie. Specjalista ds. cyberbezpieczeństwa, Mathias Karlsson odkrył, że jeszcze w tym tygodniu hasła wielu z nich były bardzo mocno zagrożone. Co z naszym bezpieczeństwem?
Luka odkryta w przeglądarkowym pluginie przez Karlssona umożliwiała mu wykradzenie haseł z kont użytkowników w LastPass. O co chodziło? Autor przeanalizował skrypt, który odpowiada za funkcję autouzupełniania i zauważył, że adres w takiej formie: http://avlidienbrunn.se/@twitter.com/@hehe.php jest interpretowany przez LastPass jako Twitter, a nie Avlidienbrunn.
Co to oznacza? Ni mniej, ni więcej jak to, że gdy Karlsson wszedł pod ten adres, LastPass wysłał na stronę Avildienbrunn dane logowania do Twittera. Co więcej, nie jest to podobno jedyna okryta przez niego luka. (Więcej szczegółów tutaj).
Co dalej? Karlsson poinformował właścicieli LastPass o swoim odkryciu, a ci załatali lukę w ciągu doby. Choć nie prowadzą oni programu nagród za odnajdywanie błędów, podziękowali autorowi kwotą 1000 dolarów.
A co z nami? Przede wszystkim należy zastanowić się kilka razy zanim zdecyduje się na skorzystanie z autouzupełniania. To nie pierwsza luka wykryta w tego typu funkcji. Czy powinniśmy jednak zrezygnować z używania z LastPass lub innych menedżerów haseł? Nie wygląda na to, by była taka konieczność. Zaleca się też korzystanie z wieloetapowego uwierzytelniania.
Źródło: Labs Detectify, LastPass
![Amerykańskie wojsko i sztuczna inteligencja. Dzień Sądu jest bliski? [OPINIA]](http://cdn.benchmark.pl/thumbs/uploads/article/93801/MODERNICON/dfef86e432c60118ce8ad99b59ec2355fab92f34.jpg/470x0x1.jpg)
![AI nie będzie nam wybierało rządu! A może będzie? [OPINIA]](http://cdn.benchmark.pl/thumbs/uploads/article/93577/MODERNICON/2b77f552fbfa26c7e99620bb643f2dea6b143fd0.jpg/470x0x1.jpg)
Komentarze
4Jak komuś bardzo zależy na w miarę bezpiecznym trzymaniu haseł, ale chce mieć możliwość logowania do stron bez ich wklepywania/kopiowania ręcznie to zawsze może używać KeePass z pluginem KeePassHttp który wysyła hasło do danej strony (jeśli zezwolisz) do pluginu w przeglądarce (PassIFox dla FF albo chromeIPass dla Chrome/Chromium-based) po localhoście. Dodatkowo można też w drugą stronę, dodać nowe hasło do nowej strony. Minus taki że KeePass musi siedzieć otwarty i odblokowany w tle.
Według mnie, jeśli ktoś potrafi zadbać o swój system i infrastrukturę sieci to takie rozwiązanie jest jak najbardziej OK. Lepsze to niż trzymanie haseł w dużych chmurach które są łakomym kąskiem dla hakerów.