Descubren graves vulnerabilidades en LastPass para Chrome y Firefox

Tavis Ormandy, uno de los investigadores del programa de detección de vulnerabilidades de Google Project Zero, ha descubierto varios problemas de gran calado en la seguridad del popular gestor de contraseñas LastPass. Inicialmente Ormandy encontró la semana pasada un fallo en la versión para Firefox, solo para dar más tarde con otra vulnerabilidad que afecta a ambos Chrome y Firefox, y una tercera sin detallar que permitiría "robar las contraseñas de cualquier dominio".

LastPass ha actualizado ya el gestor para atajar la situación. Según la compañía, no hay constancia de que ningún atacante haya utilizado estas debilidades para hacerse con los datos de acceso de sus usuarios. La más grande y peligrosa de estas deficiencias permite enviar comandos al componente binario de LastPass para ejecutar código de forma remota, según ha podido comprobar el hacker de sombrero blanco. Este fallo permite ejecutar aplicaciones instaladas en el ordenador del usuario (la prueba de concepto utiliza la calculadora de Windows) o inyectar malware con solo visitar un sitio web.

Las debilidades afectan a la extensión 4.1.42.80 para Chrome y 4.1.35a de Firefox. Según LastPass las actualizaciones ya están siendo enviadas a los usuarios, aunque no todo el mundo las ha recibido todavía. Desde el blog oficial de la compañía se señala que próximamente se publicará un informe técnico más detallado para aclarar lo sucedido.

Son numerosos los expertos en seguridad que recomiendan el uso de gestores de contraseñas con una clave maestra fuerte y algún factor de seguridad añadida como la autenticación de dos pasos, puesto que facilitan notablemente el uso de contraseñas complejas y altamente seguras frente al tan extendido uso de contraseñas fáciles de recordar y/o duplicadas. Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es exponerlas a filtraciones, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.

Fuente: ZDNet
Hace poco pensé en utilizar este tipo de gestor de contraseñas pues últimamente con las claves para las tarjetas, bancos, foros, etc (mas que todo los bancos que obligan el cambio cada 6 meses), estoy abrumado con contraseñas y la he cagado en más de una ocasión. Menos mal no lo hice. [tomaaa]

Pero viendo como está el tema, voy a tener que empezar a hacer apuntes [+risas]
Y Opera vuelve a ganar XD

De todas formas no veo como se puede llevar un directorio de contraseñas de forma segura si no es con Lastpass o un derivado, ya sea local en tu propia máquina(desventaja, es más difícil acceder a tus contraseñas porque no están en una nube, están en tu PC, ventaja, más seguro) o remoto como este. Con el volumen de webs en las que estoy registrado no podría tener una contraseña segura para cada una, no me acordaría.
Cualquiera que "piense" que este tipo de programas realmente son seguros, entonces mal vamos. No hay peor cosa (como objetivo para Hackers) que conocer que alguien esta utilizando un software (posiblemente vulnerable) para acceder a TODAS sus contraseñas y sacarle lo que quieran de arriba a abajo. Por no mencionar que una empresa (no se cual ... hablamos de Apple? Google? no verdad?) haga una App para que tu le metas dentro tus contraseñas .... dios mio, es que solo pensarlo me entran escalofrios. Quien sabe que pueden hacer con esa info una vez recopilada ...
Edy escribió:Cualquiera que "piense" que este tipo de programas realmente son seguros, entonces mal vamos. No hay peor cosa (como objetivo para Hackers) que conocer que alguien esta utilizando un software (posiblemente vulnerable) para acceder a TODAS sus contraseñas y sacarle lo que quieran de arriba a abajo. Por no mencionar que una empresa (no se cual ... hablamos de Apple? Google? no verdad?) haga una App para que tu le metas dentro tus contraseñas .... dios mio, es que solo pensarlo me entran escalofrios. Quien sabe que pueden hacer con esa info una vez recopilada ...


También hay soluciones opensource como KeePass para no depender de empresas concretas...
pipex55 escribió:Hace poco pensé en utilizar este tipo de gestor de contraseñas pues últimamente con las claves para las tarjetas, bancos, foros, etc (mas que todo los bancos que obligan el cambio cada 6 meses), estoy abrumado con contraseñas y la he cagado en más de una ocasión. Menos mal no lo hice. [tomaaa]

Pero viendo como está el tema, voy a tener que empezar a hacer apuntes [+risas]


Tienes Keepass que es open source y offline, osea se genera un archivo encriptado con todos los datos que tu le pongas dentro. Eso si, si pierdes el archivo lo pierdes todo, pero siempre puedes guardarlo en algún pendrive que nunca uses o algo así para tener un respaldo.
banderas20 escribió:Papel y boli :)


Mas seguro, probablemente si (depende de donde se guarden esas notas y quien tiene acceso a ellas)
Infinitamente menos practico y cómodo, eso garantizado.
Yo uso el cerebro como gestor de contraseñas xD, tengo bastantes correos y cada uno con una contraseña, lo mismo para los foros, twitter, etc... para eso tengo suerte la verdad.
Alejo I escribió:...Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es filtrarlas, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.


A que se refiere eso de filtrarlas?
Elkri escribió:
Alejo I escribió:...Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es filtrarlas, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.


A que se refiere eso de filtrarlas?

Es posible que no me haya expresado con claridad ahí. Exponerlas a filtraciones tal vez sea lo más correcto. Por el momento no hay constancia de que se hayan producido filtraciones según LastPass.

Un saludo.
rafaelkiz escribió:Yo uso el cerebro como gestor de contraseñas xD, tengo bastantes correos y cada uno con una contraseña, lo mismo para los foros, twitter, etc... para eso tengo suerte la verdad.



Sera porque usas siempre la misma, o usas contraseñas sencillas
Mas vale utilizar ficheros genericos con determinados patrones con los que saber que contraseñas tienes sin que alguien que mire el mismo fichero se percate de esas contraseñas.

Es decir, si ahora pongo aqui "30783758927465293" y os digo que dentro esta el pass de usuario de EOL, diriais ... vaya ... como el numero completo NO es el password ... cual puede ser el pass? De entrada, si no digo nada, no se imaginaria nadie que esta ahi mismo, y de donde es, ... pero si os haceis algo similar, nadie puede enterarse y no requiere de encriptaciones ni movidas.
Yo tiro de Keepass y del gestor de contraseñas de Firefox, seguro que estoy vendido pero me da igual, la comodidad que me aportan esta dos soluciones me resultan mas beneficiosas, ademas, lo unico que de verdad me preocupa es el dinero y este esta proteguido de otras maneras, no es contraseña y listo.
MacGyver escribió:
rafaelkiz escribió:Yo uso el cerebro como gestor de contraseñas xD, tengo bastantes correos y cada uno con una contraseña, lo mismo para los foros, twitter, etc... para eso tengo suerte la verdad.



Sera porque usas siempre la misma, o usas contraseñas sencillas

Tengo varias, pero una bastante segura usa letras y números, luego letras de nuevo.

Pero no soy de dejar una contraseña fácil a mí correo.
Yo por ahora uso notas de iOS y las tengo todas apuntaditas. Sinceramente me parece de lo más seguro ya que permite poner una contraseña para bloquear la nota.
Lo que tendrían que empezar es a aplicar verificación en dos pasos en todos sitios y solucionado.

Allá dónde esté disponible, ahí que lo activo... me parece de las pocas soluciones realmente efectivas para evitar los robos de contraseñas, al menos a nivel remoto.
Servicios online para almacenar tus claves ni con un palo. KeePassXC, offline, cifrado y multiplataforma (no se si estará para iOS / Windows Phone pero si en Android).
Es que usar un software que recuerde tus contraseñas es del genero idiota, sin ofender; pero coño, mientras no puedan hackear tu cerebro seguirá siendo mas seguro saberlas de memoria.
coyote escribió:Servicios online para almacenar tus claves ni con un palo. KeePassXC, offline, cifrado y multiplataforma (no se si estará para iOS / Windows Phone pero si en Android).


Que ventajas tiene este frente al keepass original?
Elkri escribió:
coyote escribió:Servicios online para almacenar tus claves ni con un palo. KeePassXC, offline, cifrado y multiplataforma (no se si estará para iOS / Windows Phone pero si en Android).


Que ventajas tiene este frente al keepass original?


https://keepassxc.org/project

Additional Features
  • Auto-Type on all three major platforms (Linux, Windows, OS X)
  • Stand-alone password generator
  • Password strength meter
  • Using website favicons as entry icons
  • Merging of databases
  • Automatic reload when the database was changed externally
  • KeePassHTTP support for use with PassIFox in Mozilla Firefox and chromeIPass in Google Chrome and Chromium.
  • Many bug fixes


Y que está mejor mantenido, en sistemas GNU/Linux es Qt5, keepassx sigue siendo Qt4.
No uso ni uno , ni otro [360º]
También podrían usarse estos programas en modo offline, sin usar la nube, sino con ficheros de encriptación locales, en ese caso quedarían igual que con Keepass.

En Dashlane está muy bien, y en su modo gratuito funciona con ficheros locales.Para mí es el más completo, ordenado y con mejor aspecto visual que hay a día de hoy.
@coyote pregunto, desde la ignorancia... si sólo funciona con archivos locales encriptados, ¿como sincronizas la info con los demás dispositivos?
Ataliano escribió:@coyote pregunto, desde la ignorancia... si sólo funciona con archivos locales encriptados, ¿como sincronizas la info con los demás dispositivos?

Me lo transfiero vía WiFi a la tablet / smartphone con kdeconnect y listo. ¿Que es un coñazo?, si. ¿Que es mas seguro?, si.
Papel , Boli y el cajón de mi mesita.
25 respuestas