Demuestran vulnerabilidades críticas en 1Password y LastPass... y KeePass


Además, en LastPass -recientemente adquirido por LogMeIn- también se puede atacar la base de datos de contraseñas. El próximo 10 al 13 de noviembre tendrá lugar Black Hat Europa. Una de las conferencias que ha llamado la atención está enfocada a este gestor de contraseñas, concretamente a demostrar cómo es posible acceder a todas las entradas de la base de datos sin demasiada dificultad.
En esta conferencia, Alberto García y Martín Vigo van a mostrar varias formas de robar y descibrar una base de datos completa de LastPass. En primer lugar, van a demostrar cómo es posible utilizar la función de recuperar cuenta para conseguir incluso la clave de cifrado con la que acceder a todos los datos almacenados en la base de datos de esta plataforma. También mostrarán cómo es posible evadir la doble autenticación que permite configurar esta plataforma.
Para agilizar el proceso mostrarán también como han creado un Metaesploit capaz de buscar una base de datos de LastPass y aprovechar las debilidades para acceder a toda la información almacenada en ella. Sin duda, un peligro considerable dado que LastPass no sólo almacena los nombres de usuario y las contraseñas de diferentes plataformas web, sino que también guarda en su base de datos otro tipo de información como cuentas bancarias, tarjetas de crédito, claves ssh, registros personales, etc.
Mientras, puedes seleccionar cualquier otro gestor de contraseñas.
Actualización: Keepass funciona en forma local pero a través de la herramienta KeeFarce se puede volcar la información de las contraseñas (funciona hasta la versión 2.30 actual).
Actualización: han demostrado el ataques a LastPass en BlackHat Europe.
Fuente: Open Security y Redes Zone
Estimados,
ResponderBorrarel team de agilebits me hicieron llegar este enlace en relación al articulo:
Lo comparto:
https://t.co/WXslHisgPk
Gracias, ese artículo ya está enlazado en el post.
BorrarCristian