Tavis Ormandy, uno de los investigadores del programa de detección de vulnerabilidades de Google Project Zero, ha descubierto varios problemas de gran calado en la seguridad del popular gestor de contraseñas LastPass. Inicialmente Ormandy encontró la semana pasada un fallo en la versión para Firefox, solo para dar más tarde con otra vulnerabilidad que afecta a ambos Chrome y Firefox, y una tercera sin detallar que permitiría "robar las contraseñas de cualquier dominio".
LastPass ha actualizado ya el gestor para atajar la situación. Según la compañía, no hay constancia de que ningún atacante haya utilizado estas debilidades para hacerse con los datos de acceso de sus usuarios. La más grande y peligrosa de estas deficiencias permite enviar comandos al componente binario de LastPass para ejecutar código de forma remota, según ha podido comprobar el hacker de sombrero blanco. Este fallo permite ejecutar aplicaciones instaladas en el ordenador del usuario (la prueba de concepto utiliza la calculadora de Windows) o inyectar malware con solo visitar un sitio web.
Las debilidades afectan a la extensión 4.1.42.80 para Chrome y 4.1.35a de Firefox. Según LastPass las actualizaciones ya están siendo enviadas a los usuarios, aunque no todo el mundo las ha recibido todavía. Desde el blog oficial de la compañía se señala que próximamente se publicará un informe técnico más detallado para aclarar lo sucedido.
Son numerosos los expertos en seguridad que recomiendan el uso de gestores de contraseñas con una clave maestra fuerte y algún factor de seguridad añadida como la autenticación de dos pasos, puesto que facilitan notablemente el uso de contraseñas complejas y altamente seguras frente al tan extendido uso de contraseñas fáciles de recordar y/o duplicadas. Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es exponerlas a filtraciones, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.
LastPass ha actualizado ya el gestor para atajar la situación. Según la compañía, no hay constancia de que ningún atacante haya utilizado estas debilidades para hacerse con los datos de acceso de sus usuarios. La más grande y peligrosa de estas deficiencias permite enviar comandos al componente binario de LastPass para ejecutar código de forma remota, según ha podido comprobar el hacker de sombrero blanco. Este fallo permite ejecutar aplicaciones instaladas en el ordenador del usuario (la prueba de concepto utiliza la calculadora de Windows) o inyectar malware con solo visitar un sitio web.
Las debilidades afectan a la extensión 4.1.42.80 para Chrome y 4.1.35a de Firefox. Según LastPass las actualizaciones ya están siendo enviadas a los usuarios, aunque no todo el mundo las ha recibido todavía. Desde el blog oficial de la compañía se señala que próximamente se publicará un informe técnico más detallado para aclarar lo sucedido.
Son numerosos los expertos en seguridad que recomiendan el uso de gestores de contraseñas con una clave maestra fuerte y algún factor de seguridad añadida como la autenticación de dos pasos, puesto que facilitan notablemente el uso de contraseñas complejas y altamente seguras frente al tan extendido uso de contraseñas fáciles de recordar y/o duplicadas. Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es exponerlas a filtraciones, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.
Pero viendo como está el tema, voy a tener que empezar a hacer apuntes [+risas]
De todas formas no veo como se puede llevar un directorio de contraseñas de forma segura si no es con Lastpass o un derivado, ya sea local en tu propia máquina(desventaja, es más difícil acceder a tus contraseñas porque no están en una nube, están en tu PC, ventaja, más seguro) o remoto como este. Con el volumen de webs en las que estoy registrado no podría tener una contraseña segura para cada una, no me acordaría.
También hay soluciones opensource como KeePass para no depender de empresas concretas...
Tienes Keepass que es open source y offline, osea se genera un archivo encriptado con todos los datos que tu le pongas dentro. Eso si, si pierdes el archivo lo pierdes todo, pero siempre puedes guardarlo en algún pendrive que nunca uses o algo así para tener un respaldo.
Mas seguro, probablemente si (depende de donde se guarden esas notas y quien tiene acceso a ellas)
Infinitamente menos practico y cómodo, eso garantizado.
A que se refiere eso de filtrarlas?
Es posible que no me haya expresado con claridad ahí. Exponerlas a filtraciones tal vez sea lo más correcto. Por el momento no hay constancia de que se hayan producido filtraciones según LastPass.
Un saludo.