Hlavní navigace

LastPass byl děravý, v případě pochybností si raději změňte heslo

Daniel Dočekal

Bezpečnostní chyby byly objeveny už v září 2013 na Kalifornské univerzitě v Berkeley, nyní je potvrdili sami tvůrci populární aplikace pro správu hesel.

Tvůrci populární aplikace na správu hesel oznámili na firemním blogu zjištění dvou bezpečnostních nedostatků. Týkají se využití bookmarkletů a jednorázových hesel (OTP). V prvním případě může být bookmarklet zneužit webem, na kterém ho uživatel použije. V druhém případě je nutné, aby uživatel navštívil web, který může zneužít mechaniku jednorázových hesel.

LastPass uvádí, že bezpečnostní nedostatky zjištěné a oznámené výzkumníky z Kalifornské univerzity v Berkeley v září 2013 nebyly pravděpodobně nikdy reálně využity. Byly zřejmě testovány pouze těmi, kdo je před necelým rokem objevil. LastPass také uvádí, že problémy byly okamžitě napraveny.

Těm, co mají případně obavy, že před zářím 2013 použili bookmarklety na nedůvěryhodných webech, LastPass doporučuje vygenerovat nové hlavní heslo a také hesla pro používané weby.

Co se útoku využívajícího jednorázová hesla týče, jde o cílený útok – útočník musí znát uživatelské jméno a připravit útok na míru přímo na konkrétního uživatele. Tímto způsobem se nicméně nemůže dostat k dalším heslům, které má uživatel uložené.

Pokud vás zajímají podrobnosti, článek The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers (PDF, 1,2 MB) poskytne dostatek teoretických i praktických informací. 

Našli jste v článku chybu?
15. 7. 2014 14:11
Michal (neregistrovaný)

Podle obsahu zprávy soudím, že ten titulek je hodně mimo. Chyba byla minoritní, v oblasti velice zřídka použitých funkcí, útok by musel směřovat na konkrétního jedince a být připraven. Ke změně hesla vážně není důvod.