Se han identificado errores críticos en el administrador de contraseñas de LastPass, extensiones para Chrome y Firefox. Se han identificado errores críticos en el administrador de contraseñas de LastPass, las extensiones para Chrome y Firefox Lastpass no funcionan

En el verano de 2016, el especialista de Google Project Zero, Tavis Ormandy, dijo sinceramente: "¿La gente realmente usa esto de LastPass?" Luego, Ormandy descubrió una vulnerabilidad en el código del complemento LastPass para Firefox 0-day, que permitía comprometer de forma remota todas las contraseñas de los usuarios.

Ahora, casi un año después, el experto ha vuelto a decidir poner a prueba la seguridad de LastPass y, lamentablemente, no se puede decir que la aplicación haya superado la prueba. Ormandy escribe que descubrió un problema en la extensión oficial de LastPass para Navegador Chrome. Según el investigador, el content_scrip de la extensión contiene una vulnerabilidad que, si es atacada, podría comprometer todas las credenciales almacenadas en la aplicación. Además, para llevar a cabo un ataque, el atacante sólo necesita atraer al usuario a un sitio malicioso.

El investigador explica que el script sólo se utiliza para acceder a un dominio específico en lastpass.com, y si observas más de cerca cómo funciona, se ve así:

Aquí, como señala Ormandy, radica el error. El script envía mensajes de ventana no autenticados a la extensión, lo que puede ser peligroso porque cualquiera puede hacer lo siguiente:

Esto le dará al atacante Acceso completo y obligará a LastPass a ejecutar comandos RPC, de los cuales puede haber cientos, pero el más peligroso, por supuesto, es la capacidad de copiar y completar contraseñas. En algunos casos, esto puede incluso conducir a la ejecución de código arbitrario en la máquina del usuario, mediante la explotación de openattach. Como ejemplo, Ormandy demuestra cómo ejecutar una calculadora normal (calc.exe).

Los desarrolladores de LasPass aparentemente ya solucionaron el problema en la extensión de Chrome deshabilitando 1min-ui-prod.service.lastpass.com. Sin embargo, algunos usuarios notan que el servidor todavía se está ejecutando y la vulnerabilidad sigue siendo relevante. Los usuarios de LastPass para Chrome probablemente deberían desactivar la extensión por ahora y esperar a que se lance un parche completo, ya que la versión 4.1.42, fechada el 14 de marzo de 2017, todavía era vulnerable.

Vale la pena señalar que la semana pasada Tavis Ormandy encontró otro error muy similar en el complemento LastPass para Firefox. La vulnerabilidad también le permite extraer todas las contraseñas del usuario si visita un sitio malicioso.

Este problema aún no se ha solucionado. Los desarrolladores de LastPass ya han preparado un parche, pero los especialistas de Mozilla aún están revisando la versión 3.3.2 corregida. Los autores de LastPass también enfatizaron que la rama 3.x todavía se considera obsoleta y se recomienda a los usuarios cambiar a la rama 4.x, más segura.

Pero los problemas de LastPass no terminan ahí. Hoy, 22 de marzo de 2017, Tavis Ormandy advirtió que el complemento LastPass para Firefox contiene otro error que le permite robar las contraseñas de otras personas para cualquier dominio. Además, esta vez la versión 4.1.35, más moderna y segura, es vulnerable. El experto promete publicar los detalles en un futuro próximo.

Encontré otro error en LastPass 4.1.35 (sin parchear), permite robar contraseñas de cualquier dominio. El informe completo estará en camino en breve. pic.twitter.com/9VkV7R3vud

El primero y el más opción sencilla es el administrador de contraseñas estándar para Chrome, Firefox, Opera o Vivaldi. Casi todos los navegadores modernos pueden guardar e insertar automáticamente nombres de usuario y contraseñas en los campos obligatorios. Sí, esta opción no puede considerarse muy funcional, ya que carece de algunas funciones adicionales, como un generador de combinaciones confiables y notas protegidas. Pero puedes usarlo completamente gratis y hay sincronización entre varios dispositivos, que, por supuesto, sólo funciona si utilizas el mismo navegador en todas partes.

Sencillez, accesibilidad, gratis. Sincronización entre diferentes dispositivos.
− Baja funcionalidad y seguridad.

1contraseña

1Password existe desde hace más de ocho años, pero siempre ha sido eclipsado por LastPass debido a su costo bastante alto. Puede almacenar contraseñas, datos tarjetas bancarias, licencias de software y otra información confidencial en almacenamiento virtual seguro. Este almacenamiento puede estar ubicado en un servidor remoto o dispositivo local. Es posible sincronizar a través de Wi-Fi, iCloud de Apple o Dropbox. Los desarrolladores prestaron especial atención a los algoritmos de seguridad y cifrado, gracias a los cuales este servicio no pasó desapercibido en escándalos de alto perfil.

Fiabilidad, multiplataforma, funcionalidad, sincronización.
− Precio elevado.

MantenerPass

si estas buscando solución gratuita y no temes a las dificultades, entonces asegúrate de probar KeePass. Este es un proyecto de código completamente abierto creado por desarrolladores independientes. Tiene una gran cantidad de posibilidades gracias a la presencia de todo un arsenal de diversos complementos, complementos y utilidades auxiliares. Sin embargo, a cambio tendrás que aceptar desventajas típicas gratis software en forma de alta complejidad de desarrollo e inestabilidad de algunos elementos.

La base de datos de contraseñas creada en KeePass se almacena en forma de un único archivo, que puede colocarse en su disco duro o en cualquier otro servicio de almacenamiento en la nube. En el último caso, puede implementar la sincronización de datos entre diferentes dispositivos. Existen complementos para navegadores populares que, con distintos grados de éxito, permiten sustituir nombres de usuario y contraseñas en las páginas deseadas. Además, KeePass también está disponible en dispositivos móviles.

Gratis, funcional, seguro.
− Una solución para geeks que pueden seleccionar y configurar correctamente todos los componentes necesarios.

Dashlane

Este servicio de almacenamiento de contraseñas apareció hace relativamente poco tiempo, pero ya ha demostrado su eficacia. Dashlane tiene un agradable apariencia, buena funcionalidad y facilidad de uso. La base de datos de contraseñas se almacena en la nube de forma cifrada y existe sincronización entre clientes para diferentes plataformas (Mac, PC, iOS y Android). Entre características adicionales Cabe destacar la función de cumplimentación automática de formularios, un generador de contraseñas, la posibilidad de cambiar contraseñas con un solo clic y cómodas herramientas para compras online. Pero todo este esplendor puede desvanecerse si desea utilizar la sincronización de datos entre diferentes dispositivos. Para hacer esto, tendrás que comprar una suscripción anual que cuesta $39,99, lo cual, como ves, es bastante.

Apariencia, confiabilidad, multiplataforma, billetera digital.
− Precio alto, imposibilidad de almacenar contraseñas localmente.

¿Qué administrador de contraseñas elegirás si LastPass se paga?

Durante mucho tiempo utilicé el programa Roboform para almacenar mis contraseñas de sitios y completar formularios web para registrarme en varios sitios (estaba contento con todo, excepto que era de pago).

Pero de alguna manera me cansé de tener que reinstalar constantemente. Sistema operativo, primero guarde la carpeta del programa especificado, que es responsable de almacenar información con nombres de usuario y contraseñas para mis sitios.

Luego, después de la reinstalación, busque nuevamente una nueva versión y realice manipulaciones para reemplazar archivos y carpetas. Y entonces sucedió lo inesperado: después de que falló el sistema operativo, perdí el acceso a todos los datos.

Especialista en recuperación de datos con disco duro No me considero así, así que no restauré nada, pero me propuse 2 tareas: 1 - encontrar un administrador de contraseñas gratuito y confiable; 2- tener acceso a todas tus contraseñas e inicios de sesión desde cualquier lugar donde haya conexión a Internet.

Mientras buscaba un administrador de contraseñas alternativo, encontré un complemento para navegadores (Firefox, Google Chrome, Ópera) llamado Administrador de contraseñas de LastPass con todas las funciones que necesito (recordar inicios de sesión y contraseñas, completar formularios web, un generador de contraseñas) y no tengo que pagar por estas funciones.

Además, los datos se almacenan de forma cifrada, a la que sólo usted tiene acceso. Además mostró gran trabajo durante más de seis meses. Hagamos la instalación usando el navegador de Internet Firefox como ejemplo.

Después de la instalación, reinicie el navegador haciendo clic en el enlace "Reiniciar ahora".

Se reinicia el navegador y aparece una ventana con el inicio del procedimiento de configuración de LastPass, donde lo primero que debemos es seleccionar un idioma y hacer clic en el botón “Crear una cuenta”.

En la siguiente ventana, ingrese una dirección válida Correo electrónico, la contraseña maestra más importante (debes recordarla o anotarla en algún lugar si sufrimos olvidos. La necesitaremos para acceder a todas nuestras contraseñas y al panel de control del gestor.

Creamos un recordatorio de contraseña (opcional) y nos aseguramos de marcar la casilla "He leído y acepto los Términos de uso". A continuación, marque la casilla "Entiendo que mis datos cifrados se enviarán a LastPass". Seleccione los elementos restantes según lo desee y haga clic en "Crear una cuenta".

Leemos extremadamente información importante, ingrese su contraseña maestra principal nuevamente y haga clic en "Crear una cuenta".

Importamos o no (opcional) nuestros nombres de usuario y contraseñas de otros almacenamientos de información confidencial en la computadora y hacemos clic en el botón "Continuar".

Puede configurar inmediatamente la información para completar formularios web.

En el último paso aceptamos Felicitaciones por la instalación exitosa y hacemos clic en el botón “Continuar”.

ADMINISTRADOR DE CONTRASEÑAS

Seremos redirigidos automáticamente al almacenamiento en línea de su cuenta.

En la esquina derecha del navegador aparece un botón de administrador personalizado con las funciones que necesitamos.

Para que el uso de un administrador de contraseñas sea lo más conveniente posible, recomendaría ir a configuración y desmarcar la casilla de verificación "Usar barra de herramientas compacta".

Tendremos un cómodo panel de control encima de toda la línea del navegador. Ahora, cuando ingrese su nombre de usuario y contraseña en cualquier sitio web, LastPass le pedirá que guarde la información.

Ahora puede acceder a cualquier sitio web que necesite utilizando el menú desplegable de nombre del sitio web en el panel de control superior del administrador.

Una característica conveniente es importar todos los inicios de sesión y contraseñas de varios administradores populares.

Vale la pena mencionar el generador de contraseñas altamente personalizable.

Ahora, después de reinstalar el sistema operativo, ya sea Windows o Linux, sólo necesita instalar el complemento LastPass Password Manager y todos sus datos confidenciales volverán a estar con usted.

En conclusión, diré que en navegador de google Chrome, su versión por alguna razón tiene menos configuraciones (en particular, no encontré cómo deshabilitar la barra de herramientas compacta para mostrar el administrador en toda la línea del navegador). También mencionaré que este administrador de contraseñas no ha sido probado en Opere.

Sobre los próximos cambios significativos en el sistema. Complementos de Firefox. Para garantizar la compatibilidad entre navegadores, los desarrolladores de Firefox y otros navegadores han adoptado una API común llamada WebExtensions. La compatibilidad con una API común ayudará a reducir el costo del desarrollo multiplataforma para empresas como la nuestra que tienen que producir y admitir extensiones para múltiples navegadores. Si bien la migración a WebExtensions proporciona una serie de beneficios para los desarrolladores, navegadores y usuarios, queremos preparar a los usuarios de LastPass para la transición del complemento anterior de Firefox al nuevo.

Llevamos más de un año admitiendo dos versiones de LastPass para Firefox. versión estable 3.x publicado en la tienda Extensiones de Firefox, y la versión 4.x en desarrollo se ha publicado en el sitio web LastPass.com.

Si bien esto creó cierta confusión para los usuarios de LastPass, mantuvimos la versión "heredada" para mantener la experiencia de usuario similar a la de Firefox que nuestros usuarios preferían. Mientras tanto, continuamos desarrollando la versión 4.x de acuerdo con los cambios que implementa Mozilla. Pero con la reciente noticia de que Mozilla migrará por completo a WebExtensions a finales de 2017, tenemos que decir adiós a la versión 3.x de LastPass para Firefox.

Lanzaremos la versión más reciente del complemento el 31 de marzo de 2017. Se espera que la última versión del complemento se implemente para todos los usuarios de la versión 3.3.2 unos días después de la revisión por parte de Mozilla. Puedes actualizar manualmente el complemento de Firefox ahora o esperar Actualización automática en abril. Después de esto, solo la versión 4.x estará disponible tanto en addons.mozilla.org como en LastPass.com. Complementos para usuarios Versiones de Firefox 3.x, esta actualización traerá las últimas mejoras a la lógica central y el rendimiento de LastPass que hemos implementado, así como última interfaz usuario. Según los comentarios de los usuarios, también recomendamos consultar las vistas de mosaico y lista en la interfaz 4.x para ver cuál es la mejor vista para usted.

Interfaz de LastPass 3.x

Interfaz de LastPass 4.x

Además de implementar los cambios realizados por Mozilla, creemos que la nueva versión de nuestro complemento para Firefox es, en general, mucho más fácil de usar. Sabemos que el cambio no siempre es agradable. Escuchamos sus comentarios y realizamos cambios bien pensados ​​e informados mientras unificamos la experiencia de LastPass en todos los navegadores y plataformas.

Por supuesto, la transición a nueva versión Los complementos no afectarán su cuenta de LastPass ni ningún dato en su almacenamiento. Aún tendrás acceso completo a tu cuenta en cualquier momento desde cualquier navegador y desde cualquier dispositivo.

Como siempre, puede comunicarse con nuestro equipo de soporte si tiene alguna pregunta o inquietud con respecto a esta transición.