Dobbiamo distinguere tra gestori di password offline (come Password Safe) e gestori di password online (come LastPass).

I gestori di password offline hanno relativamente poco rischio. È vero che le password salvate sono un unico punto di errore. Ma anche il tuo computer è un singolo punto di errore. La causa più probabile di una violazione è la presenza di malware sul tuo computer. Senza un gestore di password, il malware può tranquillamente sedersi e acquisire tutte le password che utilizzi. Con un gestore di password, è leggermente peggio, perché una volta che il malware ha catturato la password principale, ottiene tutte le tue password. Ma allora, a chi importa di quelli che non usi mai? È teoricamente possibile che il gestore delle password possa essere sottoposto a trojan o avere una porta sul retro, ma questo è vero con qualsiasi software. Mi sento a mio agio nel fidarmi di gestori di password ampiamente utilizzati, come Password Safe.

I gestori di password online hanno il vantaggio significativo che le tue password sono disponibili sul computer di chiunque, ma comportano anche un rischio maggiore. In parte che il database online potrebbe essere violato (sia da hacking, ordinanza del tribunale, insider dannoso, ecc.) Anche perché LastPass si integra con i browser, ha una superficie di attacco più ampia, quindi potrebbero esserci vulnerabilità tecniche (che sono improbabili con un'app autonoma come Password Safe).

Ora, per la maggior parte delle persone questi rischi sono accettabili e suggerirei che l'approccio di utilizzare un gestore di password come LastPass per la maggior parte delle tue password è migliore rispetto all'utilizzo della stessa password ovunque - che sembra essere l'alternativa principale. Ma non memorizzerei tutte le password lì dentro; fare uno sforzo per memorizzare quelli più importanti, come l'online banking.

Conosco qualcuno che non utilizzerà Password Safe e invece ha un taccuino fisico con le sue password in forma offuscata. Questo notebook è ovviamente molto più sicuro contro il malware ... se è a maggior rischio di smarrimento / furto è una domanda interessante.

[Divulgazione: lavoro per AgileBits, i creatori di 1Password. Poiché sarebbe inappropriato per me commentare l'architettura di sicurezza dei concorrenti, affronterò le cose in generale e parlerò specificamente solo di 1Password.]

Sì. I gestori di password creano un unico punto di errore. Stai tenendo tutte le tue uova nello stesso paniere. Ovviamente penso che un gestore di password ben progettato sia la scelta giusta. Ma alla fine è una scelta che ogni individuo deve fare da solo.

È estremamente importante vedere come è protetto quel cestino. Con 1Password puoi leggere i dettagli di come vengono archiviati i dati. Anche se facciamo un uso massiccio di PBKDF2, è molto importante che le persone scelgano una buona password principale. L'unico caso confermato di violazione dei dati di 1Password che ho riscontrato è quando qualcuno ha utilizzato la stessa password principale utilizzata per la sua e-mail POP3 / HTTP Road Runner non crittografata. La stessa password è stata utilizzata anche per il suo account Dropbox, che è stato anche rilevato ed è il modo in cui presumiamo che l'aggressore abbia ottenuto i dati di 1Password.

Per quanto riguarda la fiducia delle persone dietro un gestore di password, questa è una domanda più complicata . Penso che sia sicuro affermare che chiunque sia stato nel settore della gestione delle password per un po 'non rischierebbe di provare a guadagnare un dollaro in più dalle credenziali bancarie o dalle carte di credito. Anche se fossimo dei truffatori in fondo, sarebbe solo un brutto affare, poiché il semplice sospetto di un simile schema metterebbe il venditore fuori mercato. I dettagli della carta di credito rubata vengono venduti per poco più di un dollaro ciascuno se acquistati in blocco sui mercati neri. Le credenziali bancarie sono circa cinque volte di più. La matematica non funziona per nessuno il cui sostentamento deriva dalla vendita di strumenti di gestione delle password.

Come già accennato, in alcuni schemi i dati non arrivano mai al venditore in alcun formato. Questo è vero per 1Password. Non vediamo mai come qualcuno stia usando 1Password. Tuttavia, per sincronizzare i dati tra i sistemi, ci affidiamo a sistemi di sincronizzazione di terze parti. Pertanto, i tuoi dati crittografati potrebbero essere rubati da Dropbox e potrebbero essere rubati dal tuo computer se utilizzi Dropbox per sincronizzare i dati. Dovresti sempre presumere che esista una possibilità non trascurabile che i tuoi dati crittografati vengano acquisiti. Questo poi risale al modo in cui i tuoi dati sono crittografati, che è qualcosa da guardare attentamente.

Le altre domande sulla fiducia nei fornitori del sistema di gestione delle password si riducono a fidarsi della nostra competenza e confidare che non abbiamo sono stati costretti / corrotti / "persuasi" per consentire una porta di servizio nel sistema. Questo è molto più complicato. In che modo i fornitori gestiscono i bug di sicurezza quando vengono scoperti? Quanto del comportamento e del design del prodotto è verificabile indipendentemente? I creatori capiscono la crittografia che stanno utilizzando?

Per i sistemi, come 1Password, che non hanno dati dagli utenti, ci sono pochissime ragioni per cui possiamo essere contattati da agenzie governative (e non lo siamo stati. Allo stesso tempo, dovresti presumere che i governi abbiano accesso ai tuoi dati archiviati nei sistemi di sincronizzazione. Quindi, ancora una volta, questo torna alla domanda su come i dati vengono crittografati.

Disclaimer : ho creato PfP: Pain-free Passwords come hobby, potrebbe essere considerato un concorrente di LastPass.

Sono stato esaminando i problemi di sicurezza di diversi gestori di password in diverse occasioni. In particolare, finora ho segnalato dodici problemi di sicurezza a LastPass e ho analizzato le decisioni di progettazione che hanno portato a questi. Quindi, sebbene paj28 abbia dato un'ottima risposta generale sui gestori di password, posso fornire alcuni dettagli.

Quando le persone parlano della sicurezza dei gestori di password online, di solito si concentrano sulla sicurezza del server. L'attenzione si concentra su quanto sia facile compromettere il server e cosa succederà in seguito. Tuttavia, questo è solo un vettore di attacco, perché attaccare l'istanza del gestore di password locale potrebbe portare agli stessi risultati. In effetti, attaccare l'estensione del browser potrebbe essere una linea d'azione più promettente, poiché i dati sono già decrittografati lì e non lascerai tracce in nessun registro.

Fammi esaminare questi due aspetti separatamente.

Attacco all'estensione del browser

Ci sono molti dati storici sulle vulnerabilità nell'estensione del browser LastPass. Tutte queste vulnerabilità potrebbero essere sfruttate da pagine web arbitrarie. Per lo meno, questi sono:

• Difetto nella funzionalità di Compilazione automatica (Mathias Karlsson)
• API interna esposta (Tavis Ormandy)
• Tre vulnerabilità dell'estensione LastPass (veramente tua)
  • Un altro difetto nel riempimento automatico (ritenuto non sfruttabile da LastPass, solo per essere smentito da Tavis Ormandy più tardi)
  • Un'altra API interna esposta
  • Esecuzione di codice in modalità remota, compromissione completa dell'estensione
• Ancora una volta un difetto nel riempimento automatico (Tavis Ormandy)
• Ancora una volta esposta API interna (Tavis Ormandy)
• E ancora una volta esposta API interna , con conseguente esecuzione di codice in modalità remota (Tavis Ormandy)

Hai notato uno schema qui? LastPass ha lottato per anni per proteggere la propria funzionalità di Compilazione automatica e per limitare l'accesso alla propria API interna. Ogni volta che un nuovo rapporto dimostrava che la correzione precedente era incompleta.

Ora non è insolito che i gestori di password non riescano a implementare la compilazione automatica in modo sicuro, la maggior parte di loro ha riscontrato problemi in quest'area quando ho controllato. Sebbene totalmente evitabili, questi problemi sono abbastanza comuni che ho persino compilato un elenco di consigli per evitare le trappole.

Ma i problemi interni all'API sono piuttosto notevoli. LastPass espone questa API ai siti Web in molti modi diversi. È pensato per essere limitato a lastpass.com ma la logica è così complessa che le restrizioni sono state aggirate più volte in passato. E mentre LastPass ha fatto del suo meglio per minimizzare la gravità dei loro annunci ufficiali, ognuno di questi problemi ha permesso ai siti web di leggere tutte le password contemporaneamente. Peggio ancora, l'ultimo rapporto di Tavis Ormandy ha dimostrato che l'API interna potrebbe essere utilizzata per fare in modo che il componente binario LastPass esegua codice arbitrario sulla macchina dell'utente. Lo stesso potrebbe probabilmente essere fatto con tutti i difetti precedenti che hanno esposto l'API interna.

Ci si potrebbe ovviamente chiedere perché LastPass non è riuscito a limitare correttamente l'accesso all'API interna. Ma la domanda migliore è perché questa API è esposta ai siti Web. Questo perché una parte significativa della funzionalità LastPass non è contenuta nell'estensione, ma si basa piuttosto sul sito Web LastPass per funzionare. È una decisione di progettazione molto problematica, ma finora LastPass non sembrava interessato a risolverla.

Attacco ai dati lato server

Diciamolo chiaramente: non ci fidiamo del server. Non è che diffidiamo particolarmente di LogMeIn, Inc., almeno non più di qualsiasi altra azienda. Ma le nostre password sono dati molto sensibili e anche l'azienda più etica potrebbe avere un dipendente disonesto. Aggiungete a ciò la possibilità che le autorità statunitensi richiedano loro di produrre i vostri dati, cosa che non è nemmeno necessariamente associata a un'indagine penale. Non importa la possibilità che i loro server vengano violati, come se fosse già accaduto una volta.

Quindi è molto importante che i tuoi dati sul server siano crittografati e inutili per chiunque possa tenerlo. Ma cosa può impedire agli aggressori di decrittarlo? Esattamente una cosa: non conoscono la tua password principale che viene utilizzata per derivare la chiave di crittografia. Quindi la domanda essenziale è: LastPass protegge sufficientemente la tua password principale e la tua chiave di crittografia?

In quest'area, non sono a conoscenza di alcuna ricerca pubblicizzata tranne la mia, la maggior parte annotata in questo post del blog. La mia conclusione qui: LastPass soffre di una serie di difetti di progettazione, alcuni in fase di risoluzione mentre altri sono ancora attivi.

Forzatura bruta della password principale

Se gli aggressori hanno messo le mani su un mucchio di dati crittografati, l'approccio di decrittografia più semplice è: indovina la password principale utilizzata per derivare la chiave di crittografia. Puoi provare un numero illimitato di tentativi localmente, su qualsiasi hardware ti puoi permettere, quindi questo processo sarà relativamente veloce.

LastPass utilizza l'algoritmo PBKDF2 per derivare la chiave di crittografia dalla password principale. Pur essendo inferiore ai nuovi algoritmi come bcrypt, scrypt o Argon2, questo algoritmo ha l'importante proprietà di rallentare la derivazione della chiave, quindi gli aggressori che indovinano localmente saranno rallentati. Il tempo richiesto è proporzionale al numero di iterazioni, ovvero: maggiore è il numero di iterazioni, più difficile sarà indovinare una password principale.

Per molto tempo, il valore predefinito di LastPass era di 5.000 iterazioni. Si tratta di un valore estremamente basso che fornisce una protezione minima. Ho calcolato che una singola scheda grafica GeForce GTX 1080 Ti potrebbe essere utilizzata per testare 346.000 tentativi al secondo. È sufficiente per esaminare il database con oltre un miliardo di password note da varie perdite di siti Web in appena più di un'ora.

In base ai miei rapporti, LastPass ha aumentato il valore predefinito a 100.000 iterazioni a metà -2018 che è molto più adeguato. Ovviamente, se sei un obiettivo importante che potrebbe aspettarsi che risorse a livello statale vengano lanciate per indovinare la tua password principale, dovresti comunque scegliere una password principale estremamente forte.

Acquisizione dei dati per la forza bruta ​​h2 >

Una delle mie scoperte all'inizio del 2018 è stata che lo script https://lastpass.com/newvault/websiteBackgroundScript.php poteva essere caricato da qualsiasi sito web. Quello script conteneva sia il tuo nome utente LastPass che un pezzo di dati crittografati (chiave RSA privata). Dato che il tuo nome utente LastPass è anche il sale di derivazione della password, è tutto ciò di cui qualcuno ha bisogno per forzare la tua password principale localmente.

Questo problema è stato risolto rapidamente, ovviamente. Tuttavia, il difetto era abbastanza ovvio che mi chiedevo se fossi stato il primo a scoprirlo. Anche se ho sollecitato LastPass a controllare i loro log per rilevare eventuali segni di sfruttamento di questa vulnerabilità in natura, per quanto ne so questa indagine non è mai avvenuta.

"round lato server" come protezione inutile

A seguito di un incidente di sicurezza nel 2011, LastPass ha implementato un meccanismo di sicurezza aggiuntivo: oltre alle tue iterazioni PBKDF2 sul lato client, aggiungerebbero altre 100.000 iterazioni sul server. Quindi, in teoria, se qualcuno potesse ottenere dati dal server, ciò aumenterebbe lo sforzo richiesto per indovinare la tua password principale.

In pratica, ho potuto dimostrare in modo conclusivo che queste ulteriori 100.000 iterazioni vengono applicate solo all'hash della password. Tutti gli altri dati utente (password, chiavi RSA, OTP e altro) vengono crittografati solo utilizzando la chiave di crittografia derivata localmente dalla tua password principale, nessuna protezione aggiuntiva qui. Conclusione: questa "protezione" aggiuntiva è un completo spreco di risorse del server e non fornisce alcun valore.

Entrare dalla porta di servizio

Non importa quanto sia debole la protezione, gli attacchi di forza bruta saranno sempre inefficaci contro le password principali più forti. Tuttavia, il design di LastPass contiene molte backdoor che consentirebbero di decriptare i dati senza spendere alcuno sforzo.

L'interfaccia web

LastPass ti fornisce comodamente un'interfaccia web per accedere alle tue password senza l'aiuto di un'estensione del browser. Questa funzionalità è tuttavia una trappola: ogni volta che inserisci la tua password principale in un modulo di accesso sul web, non c'è modo di sapere se eseguirà l'hashing della tua password principale con PBKDF2 prima di inviarla al server o se la trasmetterà in modo chiaro testo.

Ricorda che non ci fidiamo del server? Tuttavia una semplice modifica del codice JavaScript fornito dal server è sufficiente per compromettere tutte le tue password. Anche se controlli quel codice JavaScript, ce n'è troppo perché tu possa notare qualcosa. Inoltre, sarebbe possibile offrire il codice modificato solo a utenti specifici.

Impostazioni account

Anche se si utilizza l'estensione del browser in modo coerente, ogni volta che si accede alle impostazioni dell'account verrà caricare il sito web lastpass.com. Anche in questo caso, non c'è modo per te di sapere che questo sito web non è compromesso e non ruberà i tuoi dati in background.

Diversi altri pezzi della funzionalità di estensione vengono implementati anche ricorrendo a il sito web lastpass.com e LastPass non vede il problema qui.

Recovery OTP

LastPass ha il concetto di password monouso (OTP) che puoi utilizzare per recuperare i dati dal tuo account se dimentichi la password principale. Queste OTP consentono la decrittografia dei dati ma normalmente non sono note al server.

Per rendere il ripristino ancora più affidabile, LastPass creerà automaticamente una OTP di ripristino per impostazione predefinita e la memorizzerà nei dati dell'estensione. Il problema qui: il processo di ripristino è stato progettato in modo tale che l'estensione fornisca immediatamente a lastpass.com quella OTP di ripristino su richiesta, senza nemmeno avvisarti. Quindi un server LastPass compromesso potrebbe chiedere l'estensione per la tua OTP di ripristino e utilizzarla per decrittografare i tuoi dati.

Secondo LastPass, questo problema è stato risolto nell'agosto 2018. Non so come lo abbiano risolto tuttavia, almeno non sono riuscito a vedere nessuna delle soluzioni ovvie nel loro codice.

Esposizione della chiave di crittografia

Ci sono anche diverse occasioni in cui l'estensione esporrà direttamente la tua chiave di crittografia locale sui server LastPass. Ciò ha lo scopo di aiutare la funzionalità LastPass basata sul web a integrarsi meglio con l'estensione del browser, ma annulla gli effetti della crittografia dei dati a livello locale. Le seguenti azioni sono tutte problematiche:

• Apertura delle impostazioni dell'account, Sfida di sicurezza, Cronologia, Bookmarklets, Monitoraggio del credito
• Collegamento a un account personale
• Aggiunta un'identità
• Importazione di dati se il componente binario non è installato
• Stampa di tutti i siti
• Fare clic su una notifica di violazione

L'ultimo è particolarmente grave perché il server LastPass può inviarti notifiche di violazione a piacimento. Quindi questo consente a LastPass di accedere ai tuoi dati ogni volta che lo desidera, invece di aspettare che tu usi funzionalità problematiche da solo.

Altri difetti di progettazione

• Come puoi vedere da solo aprendo https://lastpass.com/getaccts.php mentre sei connesso, il vault di LastPass non è affatto un blob di dati crittografati. Piuttosto ha dati crittografati qua e là, mentre altri campi come l'URL corrispondente all'account utilizzano semplicemente la codifica esadecimale. Questo problema è stato evidenziato in questa presentazione del 2015 e da allora più campi sono stati crittografati, ma non tutti però. In particolare, un rapporto che ho presentato ha sottolineato che i domini equivalenti non crittografati hanno permesso al server LastPass di modificare quell'elenco ed estrarre le tue password in quel modo. Questo particolare problema è stato risolto nell'agosto 2018 secondo LastPass.
• La stessa presentazione rimprovera LastPass per il suo uso di AES-ECB per la crittografia. Tra le altre cose, rivela quali delle tue password sono identiche. LastPass è passato ad AES-CBC da allora, ma quando ho guardato il mio "vault" ho visto un mucchio di credenziali crittografate con AES-ECB (si può dire perché AES-ECB è semplicemente un blob con codifica base64 mentre LastPass la variante di AES-CBC inizia con un punto esclamativo).
• Recovery OTP creato automaticamente e memorizzato nei dati dell'estensione significa che chiunque abbia accesso al tuo dispositivo e indirizzo email può accedere al tuo account LastPass. Questo è in realtà documentato e considerato a basso rischio. Forse uno dei tuoi colleghi ti ha fatto uno scherzo inviandoti un'e-mail a tuo nome perché ti sei dimenticato di bloccare il tuo computer - la prossima volta potrebbero prendere il controllo del tuo account LastPass anche se sei disconnesso da LastPass.
• A proposito di disconnessione, il tempo di scadenza della sessione predefinito è di due settimane. Sebbene sia certamente conveniente, c'è un motivo per cui la maggior parte dei prodotti che gestiscono dati sensibili hanno intervalli di scadenza delle sessioni molto più brevi, in genere ben al di sotto di un giorno.
• Per combinare un valore con un segreto (ad es. come firma) di solito si usa SHA256-HMAC. LastPass utilizza invece un approccio personalizzato, applicando l'hashing SHA256 due volte. Mentre gli attacchi che HMAC intende affrontare non sembrano avere un ruolo qui, non scommetterei su qualcuno con una migliore conoscenza delle criptovalute di me che non trovi una vulnerabilità qui, dopotutto. Inoltre, il lato server occasionalmente produrrà anche alcuni token SHA256: mi chiedo che tipo di imbroglio sta succedendo dove non riesco a vederlo e se è davvero sicuro.

La risposta di Jeffery è particolarmente perspicace: il rischio principale è tutto intorno all'economia. Una delle maggiori minacce potrebbe essere il fallimento dei gestori di password (quelli che non guadagnano abbastanza soldi per il loro autore). Un malintenzionato può "salvare" lo sviluppatore acquistando il prodotto e modificando il programma per inviare i dati a se stesso (forse in un modo difficile da rilevare). Quindi è probabilmente importante assicurarsi che il gestore di password che utilizzi sembri avere successo finanziario per il suo autore.

Recentemente mi sono sentito a disagio per l'app di gestione delle password che utilizzavo da molto tempo (e precedentemente pagato per ). Lo sviluppo sembrava essersi fermato in gran parte, l'app è diventata gratuita (una grande bandiera rossa secondo me) e la proprietà potrebbe essere cambiata di mano. Sono passato a un'altra app, ma è difficile sapere se i miei dati sono stati compromessi.

Le tue password sono davvero al sicuro?

Ho usato Lastpass e mi chiedo sempre come possiamo essere sicuri che non inviino la nostra password principale insieme al database ai loro server. Potrebbero persino impostare il client per eseguire il polling del server e farlo solo per utenti specifici, per impedire il rilevamento. Ciò riguarda l'NSA e il Patriot Act, ovviamente, o altre agenzie che possono costringere le aziende a fare qualcosa del genere e mantenerlo segreto.

Dimentica la NSA

Per me, mantenere tutto al sicuro dalle agenzie è qualcosa di diverso dal mantenere segreti i miei dati di accesso. Vorrei tenere loro tutto segreto, ma hanno semplicemente così tante e diverse risorse e manodopera che posso solo fare uno sforzo. Se mi prendono di mira specificamente, probabilmente sono perso. Possono hackerare il mio router di casa, il mio telefono, il mio laptop, installare key logger ecc. E non ne avrei la più pallida idea. Le agenzie che hanno potere legale (anche se non siamo d'accordo con loro o se provengono da altri paesi) sarà difficile da fermare.

Quindi dimentica semplicemente NSA e GCHQ, ecc., perché non ci porterà da nessuna parte persone normali. Beh ... lascia perdere in questo contesto.

Lastpass o Keepass o ...?

Se Lastpass caricasse le nostre password per impostazione predefinita, e se questo dovesse essere scoperto, sarebbero in grosso problema. Uso Lastpass da circa un anno, ma mi sono fermato a causa del modo in cui interagisce con il browser. Non mi piacciono i metodi invadenti per inserire menu a discesa nei moduli web e ha rallentato il mio browser. Quando ho usato Lastpass l'ho usato per tutti quei forum banali dove non importava molto se ho perso la password o il login. Per le password più serie uso Keepass.

Uso Keepass e lo faccio da anni. Keepass è sicuro? È offline! Ma sai per certo che non invia mai dati? Lo uso per l'accesso a siti web come Amazon, Apple, ISP, Paypal, grandi negozi - in breve: quei siti web che hanno il mio numero di carta di credito.

Alcune password che memorizzo e non conservo da nessuna parte tranne che in la mia mente.

Alcuni servizi come questo offrono "comodità" cloud e altri no. Se consenti l'archiviazione delle password nel cloud, riponi maggiore fiducia nell'applicazione, poiché esiste un'unica fonte di attacco per il recupero dei dati che rappresentano le password memorizzate di tutti gli utenti. Supponendo che queste password siano crittografate in modo univoco per ogni utente, il rischio potrebbe essere mitigato, ma indipendentemente dalla quantità di mitigazione presente, questo rimane un singolo punto di attacco.

Contrasta con le applicazioni che memorizzano le password solo localmente (o consentono di migrare manualmente il database). Qui, il tuo livello di sforzo potrebbe essere maggiore, ma il punto di attacco è su una macchina su cui presumibilmente hai più controllo ed è un punto di attacco molto meno interessante poiché ha solo le tue password. Questo non ti immunizza completamente, ovviamente; si potrebbe certamente scrivere un cavallo di Troia per cercarli e inviarli altrove.

La linea di fondo è che devi decidere dove vuoi scambiare la sicurezza con la comodità, ma è certamente un compromesso nella maggior parte ( se non tutti) casi. La mia opinione sulla situazione è che se non ho scritto l'applicazione, non so cosa sta facendo e sono molto meno propensi a fidarmi di essa.

Ecco alcuni documenti che potrebbero interessarti:

• "Gestori di password: rischi, insidie ​​e miglioramenti" (2014)

Abstract:

Studiamo la sicurezza dei più diffusi gestori di password e le loro politiche sul riempimento automatico delle password nelle pagine web. Esaminiamo i gestori di password incorporati nel browser, i gestori di password per dispositivi mobili e i gestori di terze parti. Abbiamo dimostrato che esistono differenze significative nei criteri di compilazione automatica tra i gestori di password. Molte politiche di compilazione automatica possono portare a conseguenze disastrose in cui un utente malintenzionato di rete remoto può estrarre più password dal gestore delle password dell'utente senza alcuna interazione con l'utente. Sperimentiamo con questi attacchi e con tecniche per migliorare la sicurezza dei gestori di password. Dimostriamo che i nostri miglioramenti possono essere adottati dai gestori esistenti.

• "Analisi delle vulnerabilità e dei rischi di due browser commerciali e gestori di password basati su cloud" (2013)

Riassunto:

Gli utenti Web devono affrontare le sfide scoraggianti della gestione di un numero sempre maggiore di password per proteggere le loro risorse preziose su diversi servizi online. Il gestore di password è una delle soluzioni più popolari progettate per affrontare tali sfide salvando le password degli utenti e successivamente compilando automaticamente i moduli di accesso per conto degli utenti. Tutti i principali fornitori di browser hanno fornito un gestore di password come funzionalità integrata; fornitori di terze parti hanno fornito anche molti gestori di password. In questo articolo, analizziamo la sicurezza di due gestori di password commerciali molto popolari: LastPass e RoboForm. Entrambi sono gestori di password (BCPM) basati su browser e cloud ed entrambi hanno milioni di utenti attivi in ​​tutto il mondo. Esaminiamo la progettazione e l'implementazione della sicurezza di questi due BCPM con particolare attenzione ai meccanismi crittografici sottostanti. Identifichiamo diverse vulnerabilità a livello di rischio critico, alto e medio che potrebbero essere sfruttate da diversi tipi di aggressori per violare la sicurezza di questi due BCPM. Inoltre, forniamo alcuni suggerimenti generali per aiutare a migliorare la progettazione della sicurezza di questi e simili BCPM. Ci auguriamo che la nostra analisi e i nostri suggerimenti possano essere utili anche per altri prodotti e ricerche per la sicurezza dei dati basati su cloud.

I percorsi di download della carta e altri documenti correlati sono descritti in dettaglio all'indirizzo https: // www.wilderssecurity.com/threads/password-manager-security-papers.365724/, un thread del forum che ho creato.

Il requisito è per un accesso offline alle credenziali. Ad esempio un piccolo taccuino su cui scrivi tutti i tuoi dati di sicurezza per tutte le banche, negozi, siti web, persino serrature a combinazione, indirizzi e tutti gli altri dettagli a cui potresti voler accedere da qualsiasi luogo nel mondo.

L'accesso in linea delle credenziali è OK ma non perfetto, poiché dovrai essere vicino a un PC connesso a Internet prima di poter accedere ai tuoi dati.

I sistemi online comportano anche il rischio che hacker, governi e singoli dipendenti delle società di gatekeeper rubino i dati o li rendano non disponibili quando ne hai bisogno. Continua a leggere "via della seta" per esempi di perdita ripetuta e persistente di informazioni personali.

Una soluzione migliore sarebbe un dispositivo hardware che porti con te, come una piccola chiavetta USB, che ha un semplice software per archiviare e crittografare le informazioni, nonché recuperarle quando le si collega a un PC o Mac. Idealmente dovrebbe avere il Bluetooth per poter accedere al tuo telefono cellulare. Potrebbe essere necessaria una piccola batteria per questo. E se non sei vicino a nessun computer / telefono cellulare e hai ancora bisogno di accedere ai dati memorizzati, allora forse verrebbe fornito con un piccolo schermo LCD, come quei portachiavi di sicurezza RSA, un piccolo display che potrebbe essere utilizzato per accedere alle informazioni. Il tutto non deve essere più grande di una carta di credito o di un accendino Zippo. E potrebbe anche avere una scheda micro SD rimovibile che potrebbe contenere un backup di tutte le tue informazioni (crittografate ovviamente) in modo da non subire una perdita completa dei dati se perdi il dispositivo fisico.

Ovvero secondo me la soluzione migliore. (1) accessibile ovunque con o senza PC e accesso a Internet (2) dati archiviati completamente a livello locale senza terze parti ovunque che rappresentino un rischio per la sicurezza e la dipendenza.

Un altro approccio è l'email. La maggior parte di noi ha e-mail yahoo o google o altre e-mail online. E abbiamo migliaia di e-mail memorizzate sui server yahoo che contengono tonnellate di informazioni personali, inclusi indirizzi, numeri di telefono, dettagli dell'account e persino password. Su questo diritto c'è un enorme archivio di informazioni personali, è online, è disponibile sul PC di chiunque tramite un semplice browser, anche sul proprio smartphone. E per i dati più sensibili potresti escogitare un metodo di crittografia personale in modo che, sebbene l'e-mail sia un testo in chiaro, i dati sono crittografati in qualche modo, conosciuti solo da te.

Ho trovato il portachiavi OSX un luogo ideale per conservare le password e le informazioni correlate. Ancora di più con la nuova integrazione iCloud di IOS &. Per me è un equilibrio accettabile di convenienza, disponibilità e sicurezza.

Vorrei che Apple fosse più trasparente sul funzionamento interno in modo da non dover basare le mie valutazioni completamente sul reverse engineering di terze parti; ma poi di nuovo, mi sentirei allo stesso modo se le uniche informazioni disponibili provenissero anche da Apple.

Penso che esistano metodi più semplici per hackerare le tue password che tentare di violare la crittografia di LastPass. Ad esempio la registrazione della tastiera. Se pensi davvero che le tue credenziali siano in pericolo o siano state violate, dovresti usare un computer Linux pulito. Scegli una password davvero difficile (24 caratteri?).