Un estudio descubre fallos de seguridad críticos en LastPass y otros gestores de contraseñas

password management

Un análisis de seguridad, realizado por la Universidad de California (Berkeley) ha revelado una serie de importantes vulnerabilidades en algunos de los servicios de gestión de contraseñas más populares como son LastPass, RoboForm, PasswordBox, My1Login y NeedMyPassword, que permitirían a un atacante obtener las credenciales de un usuario en sitios web, en al menos cuatro de los cinco servicios estudiados.

Todos estos servicios se caracterizan por no ejecutarse de forma local, sino en el navegador, y proporcionan una gran comodidad al permitir gestionar un gran número de contraseñas y cuentas de usuario desde un único sitio, utilizando una contraseña maestra, independiente del dispositivo que utilicemos: tablet, ordenador, movil, etc…

Esto es una gran ventaja ahora que todos tenemos un montón de cuentas online, estamos en montón de redes sociales y utilizamos servicios online de todo tipo ligados al comercio (Ebay, PayPal) o la banca electrónica, pero tiene el posible inconveniente de que una vulnerabilidad en el gestor de contraseñas, podría permitir a un atacante robar todas las contraseñas de un usuario de una sola tacada.

En “The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers”  que es como se llama este estudio han encontrado vulnerabilidades críticas en varios factores y que dependiendo del servicio analizado podría afectar a: las contraseñas de un solo uso; los típicos exploits CSRF y XSS muy comunes en las aplicaciones web, en las contraseñas compartidas, y también en los los bookmarklets que son unos marcadores web con código JavaScript, que permite a los usuarios acceder a sus credenciales, las cuales podrían ser robadas si los usuarios acceden a una web “maliciosa”.

Aunque este artículo, acaba de ser publicado hace unos días, los servicios analizados fueron informados de estos fallos a finales de agosto de 2013, y todos los errores mencionados fueron subsanados (a excepción de NeedMyPassword que según los autores del informe no respondieron al mismo) por las diferentes compañías a los pocos días.

Los autores destacan el hecho (bastante negativo diría yo…) de que ninguno de estos servicios tenga un programa de recompensas para los cazadores de bugs.

Según comentan en LastPass, no existe ninguna evidencia de que estas vulnerabilidades fueron explotadas por cualquier persona más allá del equipo de investigación, en todo caso caso los problemas reportados fueron atendidos inmediatamente, tal como confirma el propio informe de la Universidad de Berkeley.

En concreto del tema de los bookmarklets, LastPass dice que apenas los usa un 1%, y que

Si a usted le preocupa haber utilizado bookmarklets antes de septiembre de 2013 en los sitios no confiables, puede considerar cambiar su contraseña maestra y la generación de nuevas contraseñas, aunque no creemos que sea necesario.

Aunque se ven muy cómodos, en realidad nunca he utilizado ninguno de estos servicios, para estas cosas siempre suelo desconfiar de la nube, no hay nada como apuntar las cosas en un papelito al lado del PC 😉

Bueno no, ahora en serio…la verdad es que soy más de guardar las contraseñas en volúmenes o archivos cifrados en local con GnuPG, el controvertido TrueCrypt o cualquier otro programa de criptografía, incluso en algún equipo, combinándolo con cifrado total de disco/home con LUKS.

Si buscáis una alternativa libre a alguna de los programas mencionados en el estudio, en el que el código pueda ser examinado y auditado fácilmente, KeePass, puede ser una muy buena opción.

Vía | The Register

Imagen | EP Tecnology

7 thoughts on “Un estudio descubre fallos de seguridad críticos en LastPass y otros gestores de contraseñas”

  1. Juan Carlos says:

    Por eso, nada mejor que el papelito pegado en la parte de adentro de mi armario en casa.

    1. tannhausser says:

      No está nada mal…en mi casa entre la cantidad de libros o papeles fotocopiados que hay, el desorden que hay y el desastre que es mi caligrafía…creo que tardarían varios años en descubrir las claves XDD

  2. x-man says:

    Sobre la Web nada de nada. XD En openSUSE llevo años usando “FPM” (Figaro’s Password Manager) y hasta ahora no e tenido dificultades, los Back_UP que hago para tener respaldo de mis claves en caso de desastre, las guardo en disco aparte, encrypted con RealCrypt.

    FPM: http://fpm.sourceforge.net/

    Saludos

  3. linuxmanr4 says:

    De hecho tengo KeePass instalado, es imposible recordar tantas contraseñas que cumplan el requisito de ser seguras, pero eso sí, las más importantes están en la memoria.

  4. Novaktiño says:

    ¿Todos estos métodos son para que NO guardar las contraseñas en los ficheros: key y signons del navegador (en el caso de Firefox), si no en una aplicación aparte?

    No mencionaron al Firefox Sync. DE todas formas, ¿como que poco confiable dejar todos los login y contraseñas en un servidor web?

    ¿Artículos que recomienden el Cómo crear Contraseñas Seguras y que sean mentalmente recordables?

    Cuando mencionan Cifrado de disco duro (o alguna partición), ¿eso es mejor en el momento de la Instalación de la distribución Linux, o puede efectuarse después?

    PD: ¿A estas alturas no se confían ni de los familiares en la PC?

  5. jony127 says:

    yo también sólo uso keepassx y todo queda en local, no puedo recordar semejante cantidad de contraseña y si encima son seguras con caracteres especiales pues peor aún. Espero al menos que con keepassx si estén segura, no me fío de dejar mis claves en la nube.

  6. Pingback: SysAdmin Times: Debian 7.6, Raspberry Pi B+, Firefox, ataques DDoS…
  7. Trackback: SysAdmin Times: Debian 7.6, Raspberry Pi B+, Firefox, ataques DDoS…

Deja un comentario