Hlavní navigace

LastPass byl děravý, v případě pochybností si raději změňte heslo

Daniel Dočekal 14. 7. 2014

Bezpečnostní chyby byly objeveny už v září 2013 na Kalifornské univerzitě v Berkeley, nyní je potvrdili sami tvůrci populární aplikace pro správu hesel.

Tvůrci populární aplikace na správu hesel oznámili na firemním blogu zjištění dvou bezpečnostních nedostatků. Týkají se využití bookmarkletů a jednorázových hesel (OTP). V prvním případě může být bookmarklet zneužit webem, na kterém ho uživatel použije. V druhém případě je nutné, aby uživatel navštívil web, který může zneužít mechaniku jednorázových hesel.

LastPass uvádí, že bezpečnostní nedostatky zjištěné a oznámené výzkumníky z Kalifornské univerzity v Berkeley v září 2013 nebyly pravděpodobně nikdy reálně využity. Byly zřejmě testovány pouze těmi, kdo je před necelým rokem objevil. LastPass také uvádí, že problémy byly okamžitě napraveny.

Těm, co mají případně obavy, že před zářím 2013 použili bookmarklety na nedůvěryhodných webech, LastPass doporučuje vygenerovat nové hlavní heslo a také hesla pro používané weby.

CIF16

Co se útoku využívajícího jednorázová hesla týče, jde o cílený útok – útočník musí znát uživatelské jméno a připravit útok na míru přímo na konkrétního uživatele. Tímto způsobem se nicméně nemůže dostat k dalším heslům, které má uživatel uložené.

Pokud vás zajímají podrobnosti, článek The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers (PDF, 1,2 MB) poskytne dostatek teoretických i praktických informací. 

Našli jste v článku chybu?
Lupa.cz: Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští