Defectos de seguridad encontrados en los administradores de contraseñas populares


¿No son todos tan buenos como para ser? Se ha encontrado que varias bóvedas de contraseñas contienen vulnerabilidades, tanto nuevas como previamente reveladas, pero nunca parcheadas, según un estudio

Varios administradores de contraseñas populares contienen vulnerabilidades de seguridad que podrían explotarse para romper las paredes que se supone que mantienen sus contraseñas seguras, de acuerdo con investigadores de la universidad de York.

Después de considerar un grupo de 19 administradores de contraseñas, los académicos decidieron probar LastPass, Dashlane, Keeper, 1Password y RoboForm en función de su popularidad y características. Descubrieron un overall de cuatro nuevas vulnerabilidades, incluida una falla tanto en las aplicaciones Android 1Password como LastPass que las hicieron susceptibles a los ataques de phishing. La vulnerabilidad es causada por el uso de criterios de coincidencia débiles para identificar cuál de las credenciales almacenadas se debe sugerir para autocompletar.

«Nuestro estudio muestra que un ataque de phishing de una aplicación maliciosa es altamente factible: si se engaña a una víctima para que instale una aplicación maliciosa, podrá presentarse como una opción legítima en el indicador de autocompletar y tener una alta probabilidad de éxito». dijo el Dr. Siamak Shahandashti del Departamento de Informática de la Universidad de York. Luego agregó que, para remediar la situación, las bóvedas de contraseñas deben agregar criterios de coincidencia más estrictos que no se basen solo en «el supuesto nombre del paquete de una aplicación».

Los investigadores también descubrieron que las aplicaciones de Android de RoboForm y Dashlane son susceptibles a ataques de fuerza bruta PIN. Esta falla permite intentos interminables de ingresar el PIN maestro que finalmente puede desbloquear las bóvedas de contraseña.

«A través de la extrapolación de las pruebas manuales, se estima que incluso un ataque de adivinanzas aleatorio guide en promedio espera encontrar un PIN seleccionado al azar en 2.5 horas», explicaron los investigadores, y agregaron que factorizar variables adicionales puede reducir significativamente el tiempo que lleva romper el PIN

Los proveedores respectivos de las herramientas fueron debidamente notificados sobre las vulnerabilidades recientemente descubiertas. «Algunos fueron reparados de inmediato, mientras que otros se consideraron de baja prioridad», dijo Michael Carr, el autor principal del estudio.

Además, los administradores de contraseñas también se sometieron a pruebas rigurosas contra seis vulnerabilidades previamente divulgadas para ver si los agujeros de seguridad habían sido tapados. La prueba mostró que todos, excepto uno de los administradores de contraseñas, eran susceptibles a la falta de coincidencia de URL, y todos ellos eran vulnerables a ignorar los subdominios y las vulnerabilidades de autocompletar HTTP (S). A Dashlane le fue peor, ya que period susceptible a cinco de las seis vulnerabilidades reveladas anteriormente.

Aunque el equipo admitió que se necesitan «modelos de seguridad rigurosos y pruebas de seguridad canónicas para administradores de contraseñas», todavía recomiendan su uso a empresas y personas por igual, ya que continúan siendo una opción más segura y utilizable que recurriendo al reciclaje de contraseñas o tratando de memorizarlos a todos.

Para reflexionar, dado que las personas continúan haciendo elecciones cuestionables al elegir contraseñas para proteger sus datos, como puede evidenciarse por el hecho de que «12345» y contraseñas igualmente fáciles de hackear seguir siendo opciones populares para muchos internautas








Enlace a la noticia original