Hlavní navigace

LastPass byl děravý, v případě pochybností si raději změňte heslo

Daniel Dočekal 14. 7. 2014

Bezpečnostní chyby byly objeveny už v září 2013 na Kalifornské univerzitě v Berkeley, nyní je potvrdili sami tvůrci populární aplikace pro správu hesel.

Tvůrci populární aplikace na správu hesel oznámili na firemním blogu zjištění dvou bezpečnostních nedostatků. Týkají se využití bookmarkletů a jednorázových hesel (OTP). V prvním případě může být bookmarklet zneužit webem, na kterém ho uživatel použije. V druhém případě je nutné, aby uživatel navštívil web, který může zneužít mechaniku jednorázových hesel.

LastPass uvádí, že bezpečnostní nedostatky zjištěné a oznámené výzkumníky z Kalifornské univerzity v Berkeley v září 2013 nebyly pravděpodobně nikdy reálně využity. Byly zřejmě testovány pouze těmi, kdo je před necelým rokem objevil. LastPass také uvádí, že problémy byly okamžitě napraveny.

Těm, co mají případně obavy, že před zářím 2013 použili bookmarklety na nedůvěryhodných webech, LastPass doporučuje vygenerovat nové hlavní heslo a také hesla pro používané weby.

Co se útoku využívajícího jednorázová hesla týče, jde o cílený útok – útočník musí znát uživatelské jméno a připravit útok na míru přímo na konkrétního uživatele. Tímto způsobem se nicméně nemůže dostat k dalším heslům, které má uživatel uložené.

Pokud vás zajímají podrobnosti, článek The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers (PDF, 1,2 MB) poskytne dostatek teoretických i praktických informací. 

Našli jste v článku chybu?

15. 7. 2014 14:11

Michal (neregistrovaný)

Podle obsahu zprávy soudím, že ten titulek je hodně mimo. Chyba byla minoritní, v oblasti velice zřídka použitých funkcí, útok by musel směřovat na konkrétního jedince a být připraven. Ke změně hesla vážně není důvod.

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)