Les gestionnaires de mots de passe comme LastPass sont-ils sûrs?

[Divulgation: Je travaille pour AgileBits, les créateurs de 1Password. Comme il serait inapproprié pour moi de commenter l'architecture de sécurité des concurrents, je vais aborder les choses en général et ne parler spécifiquement que de 1Password.]

Oui. Les gestionnaires de mots de passe créent un point de défaillance unique. Vous conservez tous vos œufs dans le même panier. Je pense évidemment qu'un gestionnaire de mots de passe bien conçu est le bon choix. Mais en fin de compte, c'est un choix que chaque individu doit faire pour lui-même.

Il est extrêmement important de voir comment ce panier est protégé. Avec 1Password, vous pouvez lire les détails de la façon dont les données sont stockées. Bien que nous fassions un usage intensif de PBKDF2, il est très important que les gens choisissez un bon mot de passe principal . Le seul cas confirmé de violation de données 1Password que j'ai vu, c'est quand quelqu'un a utilisé le même mot de passe principal qu'elle a utilisé pour son courrier électronique POP3/HTTP Road Runner non chiffré. Le même mot de passe a également été utilisé pour son compte Dropbox, qui a également été repris et c'est ainsi que nous supposons que l'attaquant a obtenu les données 1Password.

Quant à faire confiance aux personnes derrière un gestionnaire de mots de passe, c'est une question plus délicate. Je pense qu'il est sûr de dire que quiconque travaille dans le domaine de la gestion des mots de passe depuis un certain temps ne risquerait pas d'essayer de tirer un avantage supplémentaire des informations bancaires ou des cartes de crédit. Même si nous étions des escrocs dans l'âme, ce ne serait que de mauvaises affaires, car la simple suspicion d'un tel stratagème mettrait le vendeur en faillite. Les détails d'une carte de crédit volée se vendent à peine plus d'un USD chacun lorsqu'ils sont achetés en vrac sur les marchés noirs. Les références bancaires sont environ cinq fois plus élevées. Les calculs ne fonctionnent tout simplement pas pour ceux dont les moyens de subsistance proviennent de la vente d'outils de gestion de mots de passe.

Comme cela a déjà été mentionné, dans certains systèmes, les données ne sont jamais transmises au fournisseur sous aucun format. C'est le cas de 1Password. Nous ne voyons jamais comment quelqu'un utilise 1Password. Cependant, pour synchroniser les données entre les systèmes, nous nous appuyons sur des systèmes de synchronisation tiers. Ainsi, vos données cryptées peuvent être volées dans Dropbox ainsi que dans votre propre ordinateur si vous utilisez Dropbox pour synchroniser les données. Vous devez toujours supposer qu'il existe une possibilité non négligeable que vos données cryptées soient capturées. Cela revient ensuite à la façon dont vos données sont cryptées, ce qui est quelque chose à examiner attentivement.

Les autres questions sur la confiance envers les fournisseurs du système de gestion des mots de passe se résument à faire confiance à notre compétence et à croire que nous n'avons pas été contraints/soudoyés/"persuadés" de permettre une porte dérobée dans le système. C'est beaucoup plus compliqué. Comment les fournisseurs gèrent-ils les bogues de sécurité à mesure qu'ils sont découverts? Dans quelle mesure le comportement et la conception du produit sont-ils vérifiables indépendamment? Les créateurs comprennent-ils la crypto qu'ils utilisent?

Pour les systèmes, comme 1Password, qui ne contiennent aucune donnée des utilisateurs, il y a très peu de raisons pour que nous soyons même approchés par les agences gouvernementales (et nous ne l'avons pas été .) En même temps , vous devez supposer que les gouvernements ont accès à vos données stockées sur des systèmes de synchronisation. Encore une fois, cela revient à la question de savoir comment ces données sont cryptées.

Clause de non-responsabilité : J'ai créé PfP: mots de passe indolores comme passe-temps, il pourrait être considéré comme un concurrent LastPass.

J'ai étudié les problèmes de sécurité de plusieurs gestionnaires de mots de passe à plusieurs reprises. En particulier, j'ai signalé douze problèmes de sécurité à LastPass jusqu'à présent et analysé les décisions de conception qui ont conduit à ces derniers. Donc, bien que paj28 ait donné une très bonne réponse générale sur les gestionnaires de mots de passe, je peux fournir quelques détails.

Lorsque les gens parlent de la sécurité des gestionnaires de mots de passe en ligne, ils se concentrent généralement sur la sécurité des serveurs. L'accent est mis sur la facilité avec laquelle il est possible de compromettre le serveur et sur ce qui se passera ensuite. Il ne s'agit cependant que d'un seul vecteur d'attaque, car attaquer votre instance de gestionnaire de mots de passe local pourrait conduire aux mêmes résultats. En fait, attaquer l'extension du navigateur pourrait être une action plus prometteuse, car les données y sont déjà décryptées et vous ne laisserez aucune trace dans les journaux.

Permettez-moi d'examiner ces deux aspects séparément.

Attaquer l'extension du navigateur

L'extension de navigateur LastPass contient de nombreuses données historiques sur les vulnérabilités. Toutes ces vulnérabilités pourraient être exploitées par des pages Web arbitraires. À tout le moins, ce sont:

• Faille dans la fonctionnalité de remplissage automatique (Mathias Karlsson)
• API interne exposée (Tavis Ormandy)
• Trois vulnérabilités de l'extension LastPass (la vôtre vraiment)
  • Une autre faille dans AutoFill (jugée non exploitable par LastPass, pour être confirmée par Tavis Ormandy plus tard)
  • Une autre API interne exposée
  • Exécution de code à distance, compromis d'extension complet
• Encore une faille dans le remplissage automatique (Tavis Ormandy)
• Encore une fois API interne exposée (Tavis Ormandy)
• Et une fois encore une API interne exposée, entraînant l'exécution de code à distance (Tavis Ormandy)

Avez-vous remarqué un motif ici? LastPass s'efforce depuis des années de sécuriser sa fonctionnalité de saisie automatique et de restreindre l'accès à son API interne. Chaque fois qu'un nouveau rapport prouvait que leur correctif précédent était incomplet.

Maintenant, il n'est pas rare que les gestionnaires de mots de passe n'implémentent pas la saisie automatique de manière sécurisée, la plupart d'entre eux avaient des problèmes dans ce domaine lorsque j'ai vérifié. Bien que totalement évitables, ces problèmes sont suffisamment courants pour que je compile même ne liste de recommandations pour éviter les pièges.

Mais les problèmes d'API internes sont assez remarquables. LastPass expose cette API aux sites Web de différentes manières. Il est censé être limité à lastpass.com mais la logique est si complexe que les restrictions ont été contournées plusieurs fois dans le passé. Et tandis que LastPass a fait de son mieux pour minimiser la gravité de ses annonces officielles, chacun de ces problèmes a permis aux sites Web de lire tous les mots de passe à la fois. Pire encore, le dernier rapport de Tavis Ormandy a prouvé que l'API interne pouvait être utilisée pour obliger le composant binaire LastPass à exécuter du code arbitraire sur la machine de l'utilisateur. La même chose pourrait probablement être faite avec toutes les failles précédentes qui exposaient l'API interne.

On pourrait bien sûr se demander pourquoi LastPass n'a pas réussi à restreindre correctement l'accès à l'API interne. Mais la meilleure question est de savoir pourquoi cette API est exposée aux sites Web. En effet, une partie importante de la fonctionnalité LastPass n'est pas contenue dans l'extension mais dépend plutôt du site Web LastPass pour fonctionner. C'est une décision de conception très problématique, mais jusqu'à présent, LastPass ne semblait pas intéressé à y remédier.

Attaque des données côté serveur

Disons cela très clairement: nous ne faisons pas confiance au serveur. Ce n'est pas que nous nous méfions particulièrement de LogMeIn, Inc. - du moins pas plus que toute autre entreprise. Mais nos mots de passe sont des données très sensibles, et même l'entreprise la plus éthique peut avoir un employé voyou. Ajoutez à cela la possibilité que les autorités américaines exigent qu'elles produisent vos données, ce qui n'est même pas nécessairement associé à une enquête criminelle. Peu importe la possibilité que leurs serveurs soient piratés, comme ça déjà arrivé une fois .

Il est donc très important que vos données sur le serveur soient cryptées et inutiles pour quiconque peut les obtenir. Mais qu'est-ce qui peut empêcher les attaquants de le décrypter? Exactement une chose: ils ne connaissent pas votre mot de passe principal qui est utilisé pour dériver la clé de cryptage. La question essentielle est donc la suivante: LastPass protège-t-il suffisamment votre mot de passe principal et votre clé de chiffrement?

Dans ce domaine, je ne suis au courant d'aucune recherche médiatisée mais de la mienne, la plupart écrites en ce billet de blog . Ma conclusion ici: LastPass souffre d'un certain nombre de défauts de conception ici, certains étant résolus maintenant tandis que d'autres sont toujours actifs.

Bruteforcer le mot de passe principal

Si les attaquants mettent la main sur un tas de données chiffrées, l'approche de déchiffrement la plus simple est: devinez le mot de passe principal utilisé pour dériver la clé de chiffrement. Vous pouvez essayer un nombre illimité de suppositions localement, sur n'importe quel matériel que vous pouvez vous permettre, donc ce processus sera relativement rapide.

LastPass utilise l'algorithme PBKDF2 pour dériver la clé de chiffrement du mot de passe principal. Tout en étant inférieur aux algorithmes plus récents comme bcrypt, scrypt ou Argon2, cet algorithme a la propriété importante de ralentir la dérivation des clés, de sorte que les attaquants faisant des suppositions locales seront ralentis. Le temps requis est proportionnel au nombre d'itérations, ce qui signifie: plus le nombre d'itérations est élevé, plus il sera difficile de deviner un mot de passe principal.

Pendant longtemps, la valeur par défaut de LastPass était de 5 000 itérations. Il s'agit d'une valeur extrêmement faible qui offre très peu de protection. J'ai calculé qu'une seule carte graphique GeForce GTX 1080 Ti pourrait être utilisée pour tester 346 000 suppositions par seconde. Cela suffit pour parcourir la base de données avec plus d'un milliard de mots de passe connus grâce à diverses fuites de sites Web en à peine plus d'une heure.

Suite à mes rapports, LastPass a augmenté la valeur par défaut à 100 000 itérations mi-2018, ce qui est beaucoup plus adéquat. Bien sûr, si vous êtes une cible importante qui pourrait s'attendre à ce que des ressources de niveau état soient utilisées pour deviner votre mot de passe maître, vous devez toujours choisir un mot de passe maître extrêmement solide.

Récupérer des données pour bruteforce

L'une de mes conclusions au début de 2018 était que le script https://lastpass.com/newvault/websiteBackgroundScript.php peut être chargé par n'importe quel site Web. Ce script contenait à la fois votre nom d'utilisateur LastPass et un morceau de données chiffrées (clé RSA privée). Votre nom d'utilisateur LastPass étant également le sel de dérivation de mot de passe, c'est tout ce dont quelqu'un a besoin pour renforcer brutalement votre mot de passe principal localement.

Ce problème a été résolu rapidement bien sûr. Cependant, la faille était suffisamment évidente pour que je me demande si j'ai été la première à la découvrir. Bien que j'exhorte LastPass à vérifier dans leurs journaux les signes de cette vulnérabilité exploitée dans la nature, à ma connaissance, cette enquête n'a jamais eu lieu.

Les "tournées côté serveur" comme protection inutile

Suite à un incident de sécurité en 2011, LastPass a implémenté un mécanisme de sécurité supplémentaire : en plus de vos itérations PBKDF2 côté client, ils ajouteraient encore 100 000 itérations sur le serveur. Donc, en théorie, si quelqu'un pouvait obtenir des données du serveur, cela augmenterait l'effort requis pour deviner votre mot de passe principal.

En pratique, je pourrais prouver de manière concluante que ces 100 000 itérations supplémentaires ne sont appliquées qu'au hachage du mot de passe. Toutes les autres données utilisateur (mots de passe, clés RSA, OTP et plus) sont uniquement cryptées à l'aide de la clé de cryptage dérivée localement de votre mot de passe principal, aucune protection supplémentaire ici. Conclusion: cette "protection" supplémentaire est un gaspillage complet des ressources du serveur et n'apporte aucune valeur.

Entrer par la porte arrière

Quelle que soit la faiblesse de la protection, les attaques par force brute seront toujours inefficaces contre les mots de passe principaux les plus forts. Cependant, la conception de LastPass contient de nombreuses portes dérobées qui permettraient de décrypter les données sans effort.

L'interface web

LastPass vous offre commodément une interface Web pour accéder à vos mots de passe sans l'aide d'une extension de navigateur. Cette fonctionnalité est cependant un piège: chaque fois que vous entrez votre mot de passe principal dans un formulaire de connexion sur le Web, il n'y a aucun moyen de savoir s'il hachera votre mot de passe principal avec PBKDF2 avant de l'envoyer au serveur ou s'il le transmettra aussi clairement texte.

Rappelez-vous que nous ne faisons pas confiance au serveur? Pourtant, une modification triviale du code JavaScript servi par le serveur suffit à compromettre tous vos mots de passe. Même si vous inspectez ce code JavaScript, il y en a trop pour que vous remarquiez quoi que ce soit. Et il ne serait possible de diffuser le code modifié qu'à des utilisateurs spécifiques.

Paramètres du compte

Même si vous utilisez régulièrement l'extension du navigateur, chaque fois que vous accédez aux paramètres du compte, il charge le site Web lastpass.com. Là encore, il n'y a aucun moyen pour vous de savoir que ce site Web n'est pas compromis et ne volera pas vos données en arrière-plan.

Plusieurs autres éléments de la fonctionnalité d'extension sont également implémentés en retombant sur le site Web lastpass.com, et LastPass ne voit pas le problème ici.

Récupération OTP

LastPass a le concept de mots de passe à usage unique (OTP) que vous pouvez utiliser pour récupérer des données de votre compte si vous oubliez le mot de passe principal. Ces OTP permettent de décrypter vos données mais ne sont normalement pas connus du serveur.

Pour rendre la récupération encore plus fiable, LastPass créera automatiquement un OTP de récupération par défaut et le stockera dans les données d'extension. Le problème ici: le processus de récupération a été conçu de telle sorte que l'extension donnerait immédiatement à lastpass.com cette récupération OTP à la demande, sans même vous en informer. Un serveur LastPass compromis pourrait donc demander l'extension pour votre OTP de récupération et l'utiliser pour décrypter vos données.

Selon LastPass, ce problème a été résolu en août 2018. Je ne sais pas comment ils l'ont résolu cependant, au moins je ne pouvais voir aucune des solutions évidentes dans leur code.

Exposition de la clé de cryptage

Il existe également un certain nombre d'occasions où l'extension expose directement votre clé de chiffrement locale aux serveurs LastPass. Ceci est destiné à aider la fonctionnalité Web LastPass à mieux s'intégrer à l'extension de navigateur, mais il annule les effets du cryptage des données localement. Les actions suivantes sont toutes problématiques:

• Ouverture des paramètres du compte, défi de sécurité, historique, Bookmarklets, surveillance du crédit
• Lien vers un compte personnel
• Ajout d'une identité
• Importation de données si le composant binaire n'est pas installé
• Impression de tous les sites
• Cliquer sur une notification de violation

Le dernier est particulièrement sérieux car le serveur LastPass peut vous envoyer des notifications de violation à volonté. Cela permet donc à LastPass d'accéder à vos données à tout moment, plutôt que d'attendre que vous utilisiez vous-même des fonctionnalités problématiques.

Plus de défauts de conception

• Comme vous pouvez le constater par vous-même en ouvrant https://lastpass.com/getaccts.php lorsque vous êtes connecté, le coffre-fort LastPass n'est en aucun cas un blob chiffré de données. Il a plutôt des données chiffrées ici et là, tandis que d'autres champs comme l'URL correspondant au compte utilisent simplement un codage hexadécimal. Ce problème a été signalé dans cette présentation de 2015 et plus de champs sont devenus cryptés depuis - mais de loin pas tous cependant. En particulier, un rapport que j'ai déposé a souligné que les domaines équivalents non cryptés permettaient au serveur LastPass de modifier cette liste et d'extraire vos mots de passe de cette manière. Ce problème particulier a été résolu en août 2018 selon LastPass.
• La même présentation gronde LastPass pour leur utilisation de AES-ECB pour le chiffrement. Entre autres, il révèle quels de vos mots de passe sont identiques. Depuis, LastPass est en transition vers AES-CBC, mais quand j'ai regardé mon "coffre-fort", j'ai vu un tas d'informations d'identification cryptées AES-ECB là-bas (vous pouvez le voir parce que AES-ECB est simplement un blob codé en base64 alors que le LastPass variante d'AES-CBC commence par un point d'exclamation).
• La récupération OTP étant créée automatiquement et stockée dans les données d'extension signifie que toute personne ayant accès à votre appareil et à votre adresse e-mail peut accéder à votre compte LastPass. C'est en fait documenté et considéré comme un faible risque. Peut-être qu'un de vos collègues vous a fait une farce en envoyant un e-mail à votre nom parce que vous avez oublié de verrouiller votre ordinateur - la prochaine fois, il pourrait reprendre votre compte LastPass même si vous êtes déconnecté de LastPass.
• En parlant de déconnexion, le délai d'expiration de la session par défaut est de deux semaines. Bien que cela soit certainement pratique, il y a une raison pour laquelle la plupart des produits gérant des données sensibles ont des intervalles d'expiration de session beaucoup plus courts, généralement bien en dessous d'un jour.
• Pour combiner une valeur avec un secret (par exemple en tant que signature), on utilise généralement SHA256-HMAC. LastPass utilise une approche personnalisée à la place, en appliquant le hachage SHA256 deux fois. Bien que les attaques que HMAC est censé combattre ne semblent pas jouer un rôle ici, je ne parierais pas sur quelqu'un avec une meilleure connaissance de la cryptographie que moi qui ne trouve pas de vulnérabilité ici après tout. De plus, le côté serveur produira également occasionnellement des jetons SHA256 - je me demande quel genre de bogue se passe là où je ne peux pas le voir et s'il est vraiment sécurisé.

La réponse de Jeffery est particulièrement perspicace - le principal risque est tout autour de l'économie. L'une des plus grandes menaces peut être pour les gestionnaires de mots de passe défaillants (ceux qui ne font pas assez d'argent pour leur auteur). Un acteur malveillant peut "sauver" le développeur en achetant le produit et en modifiant le programme pour lui envoyer des données (peut-être d'une manière difficile à détecter). Il est donc probablement important de s'assurer que le gestionnaire de mots de passe que vous utilisez semble réussir financièrement pour son auteur.

Je suis récemment devenu mal à l'aise à propos de l'application de gestion des mots de passe que j'utilisais depuis longtemps (et que j'avais déjà payée). Le développement semble s'être largement arrêté, l'application est devenue gratuite (un gros drapeau rouge à mon avis) et la propriété a peut-être changé de mains. Je suis passé à une autre application, mais il est difficile de savoir si mes données ont été compromises.

Vos mots de passe sont-ils vraiment sûrs?

J'ai utilisé Lastpass et je me demande toujours comment nous pouvons être sûrs qu'ils n'envoient pas notre mot de passe principal avec la base de données à leurs serveurs. Ils pourraient même configurer le client pour interroger le serveur et le faire pour des utilisateurs spécifiques uniquement, afin d'empêcher la découverte. Cela concerne le NSA et Patriot Act bien sûr, ou d'autres agences qui peuvent forcer les entreprises à faire quelque chose comme ça et à garder le secret.

Oubliez la NSA

Pour moi, tout garder à l'abri des agences est quelque chose de différent que de garder mes identifiants secrets. Je voudrais que tout soit secret pour eux, mais ils ont tout simplement des ressources et des effectifs tellement nombreux et différents que je ne peux que faire un effort. S'ils me ciblent spécifiquement, je suis probablement perdu. Ils peuvent pirater mon routeur domestique, mon téléphone, mon ordinateur portable, installer des enregistreurs de frappe, etc. et je n'en aurais aucune idée. Les agences qui ont un pouvoir juridique (même si nous ne sommes pas d'accord avec elles ou si elles viennent d'autres pays) seront difficiles à arrêter.

Alors oubliez simplement le NSA et GCHQ etc - car cela ne nous amènera nulle part ailleurs. Eh bien ... oubliez-le dans ce contexte.

Lastpass ou Keepass ou ...?

Si Lastpass téléchargeait nos mots de passe par défaut, et si cela devait être découvert, ils auraient de gros ennuis. J'utilise Lastpass depuis environ un an, mais j'ai arrêté à cause de la façon dont il interagit avec le navigateur. Je n'aime pas les méthodes intrusives pour insérer des menus déroulants dans les formulaires Web, et cela a ralenti mon navigateur. Lorsque j'ai utilisé Lastpass, je l'ai utilisé pour tous ces forums triviaux où cela n'avait pas beaucoup d'importance si je perdais le mot de passe ou la connexion. Pour les mots de passe plus sérieux, j'utilise Keepass.

J'utilise Keepass et je le fais depuis des années. Keepass est-il sûr? C'est hors ligne! Mais savez-vous avec certitude qu'il n'envoie jamais de données? Je l'utilise pour me connecter à des sites Web comme Amazon, Apple, FAI, Paypal, les grandes boutiques - en bref: ces sites Web qui ont mon numéro de carte de crédit.

Certains mots de passe que je mémorise et que je ne garde nulle part sauf dans ma tête.

Certains services comme celui-ci offrent la "commodité" du cloud et d'autres non. Si vous autorisez le stockage de vos mots de passe dans le cloud, vous faites davantage confiance à l'application, car il existe une seule source d'attaque pour récupérer les données représentant les mots de passe stockés de tous les utilisateurs. En supposant que ces mots de passe sont cryptés de manière unique pour chaque utilisateur, le risque peut être atténué, mais quel que soit le niveau d'atténuation, il s'agit d'un point d'attaque unique.

Contrairement aux applications qui stockent uniquement les mots de passe localement (ou vous permettent de migrer votre base de données manuellement). Ici, votre niveau d'effort peut être plus élevé, mais le point d'attaque se trouve sur une machine sur laquelle vous avez probablement plus de contrôle et c'est un point d'attaque beaucoup moins intéressant car il n'a que vos mots de passe. Cela ne vous immunise pas complètement bien sûr; un cheval de Troie pourrait certainement être écrit pour les chercher et les envoyer ailleurs.

L'essentiel, c'est que vous devez décider où vous voulez échanger la sécurité pour plus de commodité, mais c'est certainement un compromis dans la plupart (sinon tous) les cas. Mon propre point de vue sur la situation est que si je n'ai pas écrit la demande, je ne sais pas ce qu'elle fait et je suis beaucoup moins susceptible de lui faire confiance.

Voici quelques articles qui pourraient vous intéresser:

• "Gestionnaires de mots de passe: risques, pièges et améliorations" (2014)

Abstrait:

Nous étudions la sécurité des gestionnaires de mots de passe populaires et leurs politiques de remplissage automatique des mots de passe dans les pages Web. Nous examinons les gestionnaires de mots de passe intégrés au navigateur, les gestionnaires de mots de passe mobiles et les gestionnaires tiers. Nous montrons qu'il existe des différences significatives dans les politiques de remplissage automatique entre les gestionnaires de mots de passe. De nombreuses politiques de remplissage automatique peuvent entraîner des conséquences désastreuses lorsqu'un attaquant de réseau distant peut extraire plusieurs mots de passe du gestionnaire de mots de passe de l'utilisateur sans aucune interaction avec l'utilisateur. Nous expérimentons ces attaques et des techniques pour améliorer la sécurité des gestionnaires de mots de passe. Nous montrons que nos améliorations peuvent être adoptées par les gestionnaires existants.

• "Analyse de vulnérabilité et de risque de deux navigateurs commerciaux et gestionnaires de mots de passe basés sur le cloud" (2013)

Abstrait:

Les internautes sont confrontés aux défis de taille de gérer de plus en plus de mots de passe pour protéger leurs actifs précieux sur différents services en ligne. Le gestionnaire de mots de passe est l'une des solutions les plus populaires conçues pour relever ces défis en enregistrant les mots de passe des utilisateurs et plus tard en remplissant automatiquement les formulaires de connexion au nom des utilisateurs. Tous les principaux fournisseurs de navigateurs ont fourni un gestionnaire de mots de passe en tant que fonction intégrée; les fournisseurs tiers ont également fourni de nombreux gestionnaires de mots de passe. Dans cet article, nous analysons la sécurité de deux gestionnaires de mots de passe commerciaux très populaires: LastPass et RoboForm. Les deux sont des gestionnaires de mots de passe basés sur un navigateur et sur le cloud (BCPM), et tous deux comptent des millions d'utilisateurs actifs dans le monde. Nous étudions la conception et la mise en œuvre de la sécurité de ces deux BCPM en nous concentrant sur leurs mécanismes cryptographiques sous-jacents. Nous identifions plusieurs vulnérabilités de niveau de risque critique, élevé et moyen qui pourraient être exploitées par différents types d'attaquants pour briser la sécurité de ces deux BCPM. De plus, nous fournissons quelques suggestions générales pour aider à améliorer la conception de la sécurité de ces BCPM et similaires. Nous espérons que notre analyse et nos suggestions pourraient également être utiles à d'autres produits et recherches de sécurité des données basés sur le cloud.

Les emplacements de téléchargement de papier et d'autres documents connexes sont détaillés sur https://www.wilderssecurity.com/threads/password-manager-security-papers.365724/ , un fil de discussion que j'ai créé.

L'exigence est pour un accès hors ligne des informations d'identification. Par exemple, un petit carnet sur lequel vous écrivez toutes vos informations de sécurité pour toutes les banques, magasins, sites Web, même les serrures à combinaison, les adresses et tous les autres détails auxquels vous pouvez souhaiter accéder à partir de n'importe quel endroit dans le monde.

L'accès en ligne aux informations d'identification est OK mais pas parfait, car vous devrez être à proximité d'un PC connecté à Internet avant de pouvoir accéder à vos informations.

Les systèmes en ligne présentent également un risque pour les pirates, les gouvernements et les employés individuels des sociétés de contrôle d'accès qui volent les données ou les rendent indisponibles lorsque vous en avez besoin. Lisez sur "route de la soie" pour des exemples de perte répétée et persistante d'informations personnelles.

Une meilleure solution serait un appareil matériel que vous emportez avec vous, comme une petite clé USB, qui a un logiciel simple pour stocker et crypter vos informations ainsi que les récupérer lorsque vous les branchez sur un PC ou un Mac. Idéalement, il devrait avoir le bluetooth pour être accessible sur votre téléphone mobile. Il pourrait avoir besoin d'une batterie minuscule pour cela. Et si vous n'êtes pas à proximité d'un ordinateur/téléphone mobile et que vous avez toujours besoin d'accéder aux données stockées, alors il pourrait y avoir un petit écran LCD, comme ces porte-clés de sécurité RSA - un petit affichage qui pourrait être utilisé pour accéder aux informations. Le tout n'a pas besoin d'être plus grand qu'une carte de crédit ou un briquet Zippo. Et il pourrait également avoir une carte micro SD amovible qui pourrait contenir une sauvegarde de toutes vos informations (cryptées bien sûr) afin que vous ne subiriez pas une perte de données complète si vous perdiez le périphérique physique.

C'est à mon avis la meilleure solution. (1) accessible partout avec ou sans PC et accès à Internet (2) données stockées entièrement localement sans aucun tiers pour poser un risque de sécurité et de dépendance.

Une autre approche est le courrier électronique. La plupart d'entre nous ont des e-mails Yahoo ou Google ou d'autres e-mails en ligne. Et nous avons des milliers de courriels stockés sur les serveurs Yahoo qui contiennent des tonnes d'informations personnelles, y compris des adresses, des numéros de téléphone, des détails de compte et même des mots de passe. Ce droit là est un énorme référentiel d'informations personnelles, il est en ligne, il est disponible sur le PC de n'importe qui via un simple navigateur, même sur votre smartphone. Et pour les données les plus sensibles, vous pouvez concevoir une méthode de cryptage personnelle, même si l'e-mail est en texte clair, les données sont cryptées d'une manière ou d'une autre, que vous ne connaissez que.

J'ai trouvé le trousseau OSX un endroit idéal pour conserver les mots de passe et les informations connexes. Encore plus avec la nouvelle intégration IOS & iCloud. Pour moi, c'est un équilibre acceptable entre commodité, disponibilité et sécurité.

Je souhaite Apple était plus transparent sur le fonctionnement interne, donc je n'aurais pas à baser mes évaluations complètement sur la rétro-ingénierie tierce; mais là encore, je ressentirais la même chose si les seules informations disponibles provenaient de Apple également.

Je pense qu'il existe des méthodes plus faciles pour pirater vos mots de passe que pour tenter de violer le cryptage de LastPass. Par exemple, la journalisation du clavier. Si vous pensez vraiment que vos informations d'identification sont en danger ou piratées, vous devez utiliser un ordinateur Linux propre. Choisissez un mot de passe vraiment dur (24 caractères?).