Hlavní navigace

LastPass byl děravý, v případě pochybností si raději změňte heslo

Daniel Dočekal

Bezpečnostní chyby byly objeveny už v září 2013 na Kalifornské univerzitě v Berkeley, nyní je potvrdili sami tvůrci populární aplikace pro správu hesel.

Tvůrci populární aplikace na správu hesel oznámili na firemním blogu zjištění dvou bezpečnostních nedostatků. Týkají se využití bookmarkletů a jednorázových hesel (OTP). V prvním případě může být bookmarklet zneužit webem, na kterém ho uživatel použije. V druhém případě je nutné, aby uživatel navštívil web, který může zneužít mechaniku jednorázových hesel.

LastPass uvádí, že bezpečnostní nedostatky zjištěné a oznámené výzkumníky z Kalifornské univerzity v Berkeley v září 2013 nebyly pravděpodobně nikdy reálně využity. Byly zřejmě testovány pouze těmi, kdo je před necelým rokem objevil. LastPass také uvádí, že problémy byly okamžitě napraveny.

Těm, co mají případně obavy, že před zářím 2013 použili bookmarklety na nedůvěryhodných webech, LastPass doporučuje vygenerovat nové hlavní heslo a také hesla pro používané weby.

WT100

Co se útoku využívajícího jednorázová hesla týče, jde o cílený útok – útočník musí znát uživatelské jméno a připravit útok na míru přímo na konkrétního uživatele. Tímto způsobem se nicméně nemůže dostat k dalším heslům, které má uživatel uložené.

Pokud vás zajímají podrobnosti, článek The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers (PDF, 1,2 MB) poskytne dostatek teoretických i praktických informací. 

Našli jste v článku chybu?