EDICIóN GENERAL
197 meneos
3021 clics
Problemas de seguridad encontrados en los principales password managers [EN]

Problemas de seguridad encontrados en los principales password managers [EN]

Algunos 'password managers' no emplearían prácticas de seguridad básicas, como limpiar los 'datos' de la memoria cuando no están en uso o desinfectar la memoria una vez que el administrador de contraseñas se desconectó y se colocó en un estado bloqueado. En todos los administradores de contraseñas que examinaron, (1Password, Dashlane, KeePass, LastPass) la extracción de 'secretos triviales' fue posible desde un administrador de contraseñas bloqueado, incluida la contraseña maestra en algunos casos, exponiendo a más de 60 millones de usuarios

| etiquetas: seguridad , informatica , password managers
Nota para inexperos porque ya me lo he encontrado varias veces.
Las variables de request headers que transmitan datos de seguridad una vez leídos se machacan y luego si el lenguaje lo permite se ponen a null.
:palm:
Habrá que volver al post It en el fondo del cajón ...
#2 Es el Post IT ( Information Technologies ). ¡ Chistaco ! :-D
#2 y siempre que no haya acceso fisico al ordenador es la foma mas segura.
Coño qué portada más baratica. 8 meneíllos de ná. :troll:
Sorpresa Jaja. No.
1Password
Dashlane
KeePass
LastPass


Pero POR FAVOR

Es gratis, es seguro:
pwsafe.org/
#6 keepass tambien es gratis y open source
#11 Me gustaría conocer como se desempeña "seahorse" con el asunto ese de mantener datos en memoria incluso cuando el programa no se está utilizando.
Aún no lo he utilizado, pero es el que mas se usa de los que tengo disponibles en los repositorios de Slackware.

O algún otro programa del ecosistema del software libre.
#11 yo uso bitwarden que también es opensource, sabéis si tiene el mismo problema?
#39 Para confianza, la que me da Firefox, un proyecto libre, abierto y con una reputación gigante, a quien confio mis contraseñas, si bien el 99% son irrelevantes.  media
#50 Pues hay varios tickets abiertos de lo inseguro que es el password manager que viene de serie en firefox y el algoritmo que usan es una castaña para los tiempos que corren (potencia de calculo actual).
#53 La clave es que confió en Firefox para defenderme en vez de follarme.

Como he dicho, el 99% son contraseñas irrelevantes, y las que son clave para acceder a mi dinero, no están en internet en ningún formato.
#6 Perdona a #11 se ha confundido, Keepass no es open source, es software libre, ya que es GPL2.
#44 passwordsafe tiene resueltos estos problemas de seguridad desde su primera versión (el código inicial lo escribió Bruce Schneier con sus deditos) y es open source y libre. Además sincroniza.

Este tio es: www.schneier.com/
#6 Keepass comparte base con KeePassDroid, asi puedo compartirlo en ambas plataformas.
Ahora el Portapapeles de Windows 10, desde la actualizacion octubre 2018, lleva un Historial, incluso en la nube.
Eso si que lo veo peligroso si no lo desactivas.
Yo uso KeePass local. Usaría LastPass, pero me da un poco de miedo que estén en la nube....
#7 Da igual que lo uses en local, si el sistema está infectado, en el momento en que arranques el programa ya tienen material para meter mano, lo único seguro seria en local en una máquina no conectada a ninguna red ni accesible físicamente por terceros.
#9 O sea, en la memoria. La del cerebro humano. Pero si tienes amnesia la liamos.
#7 Puedes sincronizar el kdbx mediante syncthing por seguridad, o del drive por facilidad, y llevarlo al movil, yo hace ya años que lo uso así, genero el fichero en mi equipo, con un rolling de los backups de 5 (addon simpledatabasebackup) por lo que pueda pasar. con la función de auto login en webs y apps, aunque cuesta un poco configurarla de entrada despues es lo más comodo que hay

No veo la necesidad de usar servicios de terceros de pago. para las alternativas.

En cuanto al artículo, es bueno que aparecan este tipo de estudios, para que los devs puedan mejorar los puntos flacos. Aunque entiendo que lo que se guarda en memoria, almenos en el caso del keepass, son datos "triviales" como donde se hizo login
#27 hombre, en el artículo pone que en el volcado de memoria de keepass se encontraron con el password en claro de las entradas que se habían utilizado en esa sesión, por ejemplo la clave privada de la cartera de Bitcoin que la tenían guardada en el campo de contraseña del keepass.

Creo que es un fallo de seguridad importante que espero que corrijan.

Me he centrado en este programa porque es el que yo utilizo, en Windows, Linux y Android compartiendo el fichero kdbx mediante Dropbox.
#34 Tienes razón, lo he vuelto a leer, todo en claro en la memoria con el gestor bloqueado
#27 En realidad tengo el fichero dentro de un contenedor veracrypt, sincronizado con dropbox. Syncthing no me termina de convencer. Para sincronizar cosas grandes uso Resilio.
#7 pues añádeles a todos tus passwords un prefijo o sufijo común memorizado.
Para el que se pregunte cómo se extrae un dump de la memoria del proceso, el método será análogo al que se utiliza con Mimikatz. Una herramienta popular es procdump de Sysinternals (que al haber sido adquirida por Microsoft está firmada por ellos y no levanta sospechas): docs.microsoft.com/en-us/sysinternals/downloads/procdump
#8 Personalmente siempre he tirado de procdump, pero por poder, juraria que se podia hacer directamente desde el administrador de tareas de windows. Al menos en servidores.
#21 Como poder se puede, pero si eres un juanker se supone que estarás conectando con una simple shell remota o algo parecido. Si ya tienes un método más complejo con un programa propio imagino que habrá funciones de la API de windows para hacerlo también.
#23 Existen APIS y por consiguiente programas de todo tipo. No hay protección de memoria para procesos ejecutados desde el mismo usuario.
Yo uso reglas nemotecnias, nunca me he fiado del todo de estas cosas y tampoco me apetecía atarme a cualquier servicio.
Prefiero coger una palabra, un número, y luego mezclarlo todo con el sitio donde esté. Tengo como más de 100 contraseñas distintas y no se me olvida ninguna con este truco, y a quien se lo enseño lo usa y flipa lo sencillamente que puede llegar a ser.
Puedes añadir extras como repetir la misma con el shift y todo se vuelve más robusta convirtiendo números en símbolos y minúsculas a mayúsculas.
Por ejemplo en menéame podría ser:
mipalabramene1213!
Solo con cambiar mene por face ya tienes la de Facebook o “ecaf” al revés por si roban o atacan una web dudo que uno se ponga a deducir que criterios usas.
#10 Yo hago lo mismo exceptuando los sitios importantes como el correo o bancos.
#10 En un lugar de la mancha me encontré con el menéame

Primera permutación----> Enunlug@rdel@m@nch@meencontreconelmene@me
segunda permutación----> Enunlug@rdel@m@nch@meenc0ntrec0nelmene@me
Tercera permutación -----> $nunlug@rd$l@m@nch@m$$nc0ntr$c0n$lm$n$@m$
Cuarta permutación ------> 69$nunlug@rd$l@m@nch@m$$nc0ntr$c0n$lm$n$@m$69

Así es como lo hago yo y más o menos me salen claves decentillas, aunque con tablas rainbow es posible sacarlo.

PS: Mi clave del menéame no es esa :-)
#14 Ahí es donde entrarían los gestores de contraseñas, para meterle un poquito de sal
#10 tu sistema tiene fecha de caducidad, literalmente.
#15 ¿en qué sentido?
#18 en que tu memoria va a menos con el tiempo, como la de todo el mundo.
#19 yo uso un sistema parecido al del usuario que contestabas y con saber el criterio, que puedes apuntar en algún sitio si se te olvida. Ya está.
Otra cosa que yo nunca he implementado es tener varias categorías de contraseñas según el grado de seguridad ante hackeos del sitio. Por ejemplo en meneame tengo una palabra de diccionario mega simple. Pero me da pereza cambiar todas las contraseñas.
#15 pues con este sistema llevo como 15 años, literalmente.
#10 está bien pero veo problemas:
- si solo se admiten números
- si son máximo o mínimo x palabras
- como hacer cuando te obliga a cambiar cada x tiempo sin repetir antiguas
- cuando te obligan a utilizar símbolos a parte de letras y números (unos sí pero otros no puedes)
#16 me recuerdas a mi mujer, fíjate xD
#16 Los sistemas que obligan a cambiar las contraseñas al final son contraproducentes. Yo he visto repetir variaciones de contraseñas para luego volver a poner la misma, o que la gente se cansa y pone un 2 detrás...
#10 No es super seguro, si te cogen "tupalabra" clave (cualquier sitio que tenga un hackeo, sin ir mas lejos twitter tuvo uno hace poco y guardaba las pass en plano :palm: ) luego con un diccionario solo tienen que probar combinaciones a concatenar, y meneame y sus variantes ten por seguro que lo seran.

Aun asi es segura, pero creo que sigue siendo mas seguro uno de los password managers del hilo
La unica vez en mi vida que me han hackeado la contraseña fue un breve periodo de tiempo que usé 1Password. Nunca más utilizaré nada de eso, en mi cabeza es donde mejor están.
#12 pues justo la web de haveibeenpwned.com recomienda 1Password como forma segura de guardar contraseñas xD xD xD
Vaya tela.
Ya hay que estar muy tonto para usar programas para guardar contraseñas
#24 O tener -2 de idea de informática, como tu para no usarlos
#26 eres de esos que tienen virus en android y un gritón de barras de marcadores. Seguro.
#24 Seguro que usas la misma con variaciones en todo lo que se menea.
Los mortales con varias pages, sistemas , etc... Solemos poner contraseñas de 128/256 bits usando caracteres ANSI extendidos. :troll:
Buen artículo, espero que los programadores de los productos analizados se pongan las pilas.
Pins seguro que no tiene ese problema. Me cago en sus muertos cada vez que se bloquea y me borra el portapapeles.
¿Que hay de Bitwarden?
Alguien me explica las ventajas de usar servicios como Lastpass frente a usar el gestor de contraseñas de Chrome sincronizado con la cuenta de Google?
#41 Es compatible con todos los navegadores, tiene su propia app, un generador de contraseñas robustas, la información se guarda cifrada en el servidor.
Keepass (AES-KDF función de derivación de clave) Dispone de la opción "limpieza automatica del Portapapeles" configurable en segundos, ni almacenar en el Historial del Portapapeles de Windows (nube incluida).
Aparte de introducir la clave Maestra en "escritorio seguro"

menéame