События

Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной

Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной

В менеджере паролей LastPass исправлена серьезная уязвимость, позволяющая обойти механизм двухфакторной аутентификации. По словам обнаружившего уязвимость исследователя Мартина Виго (Martin Vigo), проэксплуатировать ее можно, только предварительно взломав мастер-пароль пользователя.

Не стоит недооценивать проблему. Двухфакторная аутентификация представляет собой второй уровень защиты на случай, если злоумышленникам каким-либо образом удалось завладеть мастер-паролем пользователя. Обнаруженная Виго уязвимость сводит эффективность двухфакторной аутентификации в LastPass к нулю, делая ее совершенно бесполезной.

Проблема заключалась в том, что закрытые криптографические ключи LastPass в виде QR-кода хранились по URL-адресу, созданному на основе пароля. Атакующему, которому известен данный пароль, достаточно лишь вычислить хранящийся локально QR-код, получить второй код двухфакторной аутентификации и открыть чужой менеджер паролей.

Виго описал атаку следующим образом. Атакующий с помощью социальной инженерии заманивает пользователя на сайт с XSS-уязвимостью. Затем он получает QR-код по локальному URL-адресу, созданному на основе известного ему пароля, и с помощью XSS-атаки загружает и сохраняет его изображение. Далее злоумышленник сканирует QR-код с помощью приложения Google Authenticator, используемого LastPass для двухфакторной аутентификации, получает второй код и может открыть менеджер паролей.

Виго сообщил производителю о проблеме в феврале текущего года, и в тот же день было выпущено временное исправление. 20 апреля уязвимость была исправлена полностью.

Источник

Автор: Сергей Куприянов
22.04.2017 (12:26)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.