У любого активного пользователя интернета имеется множество аккаунтов на разных сайтах. И каждый из них требует наличия логина и пароля. Удержать все в памяти просто невозможно, поэтому “пользователь обыкновенный” записывает их на листочек бумаги и располагает где-нибудь неподалеку от компьютера (о том, почему этого нельзя делать, мы уже писали тут). “Пользователь продвинутый”, в свою очередь, использует для хранения этой информации менеджеры паролей.
Однако, даже лучший менеджер паролей не всегда может гарантировать неприкосновенность учетных записей от взлома. Вспомним, хотя бы, как мировую общественность всколыхнула новость об уязвимости, обнаруженной в менеджере хранения паролей KeePass.
Совсем недавно и популярный среди пользователей менеджер паролей LastPass стал “героем” скандальной интернет-хроники. Более того, это уже не первый “прокол” LastPass. Летом прошедшего года он подвергся атаке хакеров, в ноябре в нем уже находили несколько багов. А теперь исследователь Шон Кессиди создал инструмент, шутливо названный им “LostPass” (потерянные пароли), который позволяет под видом LastPass собирать пароли пользователей в режиме автоматической фишинговой атаки.
В чем суть уязвимости менеджера паролей LastPass?
Как ни странно, “медвежью услугу” может оказать как раз стремление разработчиков программы сделать сеанс связи между пользователем и интернет-ресурсом более защищенным. Дело в том, что в LastPass встроена функция повторного ввода пароля на протяжении сессии. При этом, через определенный промежуток времени, в браузере всплывает специальное окошко с предложением снова указать пароль. Вот тут-то и располагается лазейка для хакеров. Оказалось, что существует возможность “подсунуть” пользователю фишинговую страницу для повторной авторизации.
Выглядеть она будет, естественно, точно так же, как и подлинная, да и в адресе практически не будет отличий. После того, как ничего не подозревающий юзер укажет в форме для ввода данных свой адрес электронной почты и пароль, вся его конфиденциальная информация, содержащаяся в LastPass, станет доступна для мошенников. Самое страшное, что это будет не единственный пароль для одного аккаунта, а все данные, которые хранит программа-менеджер паролей!
Пока что “LostPass” действует только в браузере Chrome, но Кессиди работает над тем, чтобы доказать, что подобное возможно проделать и в Firefox.
Безусловно, через какое-то время разработчики LastPass внесут изменения в код и залатают обнаруженные прорехи в безопасности своего продукта. Но как же быть пользователям, пока защита данных менеджера паролей не не высоте? И есть ли гарантия, что вскоре не обнаружится еще какая-нибудь уязвимость?
Сам автор тулзы рекомендует вместо браузерного расширения LastPass использовать приложение, что не даст злоумышленникам возможности применить фишинговую страницу. Правда, такой метод довольно трудоемкий и неудобный: все пароли придется копировать с интернет-страницы LastPass и вводить вручную.
Может быть, от новой угрозы способна спасти двухфакторная аутентификация (two-factor authentication)? Увы, Кессиди утверждает, что одноразовые пароли (one time password) тоже можно перехватить с помощью его инструмента. Но, видимо, исследователь имеет в виду традиционный вариант 2FA — c получением OTP паролей через SMS или e-mail. Ведь если в качестве средства аутентификации пользователей воспользоваться аппаратным токеном, который генерирует пароли для двухфакторной аутентификации автономно от интернета, да еще и с подключенной функцией подписи данных — CWYS, то бояться подобной уязвимости нечего. Как известно, подпись данных позволяет учитывать при создании и проверке временных паролей определенные параметры, свойственные конкретной транзакции: IP-адрес, сумму перевода, имя адресата. В этом случае, даже если мошенники и перехватят одноразовый пароль, проверки на сервере он не пройдет: данные будут не те.
События последнего времени красноречиво свидетельствуют о том, что способы аутентификации, опирающиеся на многоразовые пароли, не могут дать пользователю достаточной уверенности в безопасности своих данных. Защита при помощи современных методов двухфакторной аутентификации (токены, CWYS, OTP 2.0) гораздо более надежна.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
06-08-2016
Посоветуйте нормальную альтернативу вместо LastPass, который все чаще становится мишенью хакеров. Ставить Keepass не хочется, тк он не очень дружит с автозаполнением форм. Желательно что-нибудь из расширений (Хрома), поскольку работаю в Виндах/Linux и привязываться к какой-то ОС изза менеджера паролей не хотелось бы)