Ahora falla el sistema de dos pasos en LastPass – InsurgentePress

Ahora falla el sistema de dos pasos en LastPass

61 0

Agencias / InsurgentePress, Ciudad de México.- LastPass continua siendo parte de los titulares y nuevamente es por malas razones. El servicio de gestión de contraseñas no es precisamente el mejor ejemplo de confianza. De fallos críticos de seguridad en sus extensiones para Chrome y Firefox, a terribles bugs que permiten robar todas las contraseñas de un usuario en un click, hasta haber sido hackeados filtrandose información personal de sus usuarios. Todo esto en menos de dos años.

El más reciente fallo de seguridad que se les ha descubierto, es un problema bastante grave con la forma en la que implementan el proceso de verificación en dos pasos. Un atacante podría deshabilitar la autenticación en dos factores si ya tiene la contraseña, básicamente, los dos factores no existían realmente.

El bug fue reportado por el investigador Martin Vigo, y LastPass ha emitido un comunicado anunciado que el fallo fue resuelto. Sin embargo, aunque LastPass explica que para que un atacante pudiese haber explotado el problema tendías habría tenido que tomar varios pasos para saltar el Autenticador de Google y además tendría que haber atraído al usuario a un sitio web malicioso primero.

Martin Vigo tiene una historia diferente: el investigador explica cómo LastPass estaba usando un hash de la contraseña del usuario para generar el código QR que se usaba para establecer la autenticación en dos pasos en el dispositivo de un usuario. Es decir, LastPass estaba guardando la semilla secreta de la verificación en dos pasos bajo una URL que puede ser derivada de tu contraseña. ¿Cómo es eso verificación en dos pasos?

Para poner esto en perspectiva, imagina que tienes una caja fuerte en tu casa en donde guardas tus posesiones más valiosas. ¿Te parece una buena idea tener la misma llave para la puerta de tu casa y para la caja fuerte? ¿Debería la llave de la puerta abrir la caja fuerte también?

Vigo también hizo notar que no era necesario para el atacante atraer a la víctima a ningún sitio web malicioso, podría robar el código QR desde un sitio web de confianza como Facebook o Gmail. Sin duda otra razón más para pensarlo dos veces antes de confiar en el servicio, y lamentablemente otra mancha negra en la reputación de los gestores de contraseñas.

Fuente: LastPass.