web-dev-qa-db-fra.com

LastPass SMS Recovery est-il un risque pour la sécurité?

Selon la FAQ LastPass, les employés de LastPass ne peuvent pas voir ni décrypter les mots de passe stockés.

LastPass crypte votre coffre-fort avant qu'il ne parvienne au serveur à l'aide du cryptage AES 256 bits. Étant donné que le coffre-fort est déjà chiffré avant de quitter votre ordinateur et d'atteindre le serveur LastPass, même les employés de LastPass ne peuvent pas voir vos données sensibles!

Cependant, il existe une option pour utiliser SMS Récupération en cas de perte du mot de passe principal.

Une méthode pour accéder à votre compte après avoir oublié votre mot de passe principal consiste à utiliser SMS recovery pour réinitialiser le mot de passe. Cette méthode, cependant, nécessite que vous activiez la récupération de compte SMS dans LastPass avant d'oublier votre mot de passe principal. Si vous avez déjà activé la récupération SMS pour la récupération du mot de passe principal, procédez comme suit:

  1. Accédez à https://lastpass.com/recover.php , entrez votre adresse e-mail, puis cliquez sur Continuer.
  2. Le système envoie à votre téléphone un code numérique. Entrez ce code dans votre navigateur et cliquez sur Vérifier.
  3. Cliquez sur Appuyez pour récupérer le compte.
  4. Si l'authentification multifacteur est activée, authentifiez-vous, mais vous devez saisir les numéros d'authentification dans votre navigateur Web pour cette étape.
  5. Lorsque la fenêtre suivante s'affiche pour vous informer que la récupération de compte a été détectée et que vous devez immédiatement changer votre mot de passe, cliquez sur OK pour continuer.
  6. Saisissez un nouveau mot de passe principal et un indice de mot de passe (facultatif), puis cliquez sur Confirmer.
  7. Lorsque vous êtes invité avec un message indiquant que votre mot de passe a changé et vous conseillant de vous déconnecter manuellement (si vous n'êtes pas automatiquement déconnecté), cliquez sur OK pour continuer.
  8. Une fois déconnecté de LastPass, vous pouvez vous reconnecter à l'aide de votre nouveau mot de passe principal.

Cela suggère que les mots de passe stockés sont déchiffrés sans connaître le mot de passe principal d'origine et les rechiffre avec le nouveau mot de passe principal. Cela se produit du côté serveur.

Pour moi, il semble que les employés de LastPass pourraient abuser de cette méthode pour décrypter les mots de passe des utilisateurs.

Suis-je correct ou manque-t-il quelque chose?

smslastpassrecovery
13
eKKiM

Oui, c'est un léger risque pour la sécurité, pour la raison Conor Mancone fait remarquer. Mais non, cela ne signifie pas que LastPass stocke votre mot de passe principal sur leurs serveurs, et les pirates potentiels doivent faire plus que simplement obtenir le SMS de récupération.

Pour utiliser SMS recovery, vous devez avoir accès à un ordinateur et à un navigateur où vous avez déjà utilisé LastPass. LastPass génère et stocke un mot de passe de récupération à usage unique (rOTP) sur votre ordinateur lorsque vous vous connectez la première fois sur un nouvel ordinateur/navigateur. Ce rOTP fonctionne essentiellement comme un deuxième mot de passe principal et est uniquement stocké localement sur votre ordinateur, mais est désactivé jusqu'à ce que vous demandiez la récupération du compte. La récupération SMS juste active le rOTP, vous permettant d'accéder et de décrypter votre coffre-fort en l'utilisant, après quoi vous pouvez le rechiffrer en utilisant un nouveau mot de passe principal de votre choix (le rOTP est désactivé de manière permanente après avoir été utilisé une fois).

Sans accès à un ordinateur sur lequel vous avez déjà utilisé LastPass, SMS ne fonctionnera pas. Cela signifie que tout pirate informatique ou employé de LastPass qui souhaite l'utiliser pour accéder à votre coffre-fort devra d'abord obtenir l'accès à un ordinateur sur lequel vous vous êtes précédemment connecté à LastPass et où vous n'avez pas pris de mesures pour supprimer les traces qu'il a laissées.

Plus de détails sont dans le article de blog annonçant la fonction de récupération SMS. Le fichier d'aide LastPass que vous citez est malheureusement ambigu et déroutant sur le rOTP partie.

Une description plus technique (et moins ambiguë) peut être trouvée dans le LastPass Technical Whitepaper (Je ne suis pas sûr que ce lien soit stable, alors cliquez sur "Technical White Paper" au bas de la Présentation de LastPass Enterprise s'il est cassé). Voir page 10, sous "Récupération".

9
korsbakken

Remarque

Cette réponse traite de certaines mises en garde importantes à garder à l'esprit pour des systèmes comme celui-ci en général, mais manque des détails pertinents sur la mise en œuvre du système de récupération de LastPass. Pour plus de détails spécifiques à LastPass, voir l'excellente réponse de @ korsbakken.

Le risque réel

Oui, c'est un risque pour la sécurité, et cela n'a rien à voir avec comment ils rendent la récupération de mot de passe possible de leur côté. Cela a à voir avec le simple fait que SMS n'est pas un canal sécurisé pour 2FA ou la récupération de compte, un fait qui a fait beaucoup de vagues dans l'actualité récemment. Voici un article où les chercheurs en sécurité interceptent SMS voyageant dans les réseaux mobiles:

https://www.theverge.com/2017/9/18/16328172/sms-two-factor-authentication-hack-password-bitcoin

Mais une autre méthode d'attaque courante (et relativement facile) est ce que l'on appelle l'échange de carte SIM:

https://www.digitaltrends.com/mobile/sim-swap-fraud-explained/

Il y a plus d'options, j'en suis sûr, mais elles ont toutes le même effet: un attaquant déterminé a plusieurs façons d'intercepter les messages texte d'une cible pendant une période suffisamment longue pour intercepter la récupération de compte dans des cas comme celui-ci. En pratique, si un attaquant voulait accéder à votre compte, savait que vous aviez SMS recovery sur votre compte LastPass, et connaissait également votre numéro de téléphone, il exécuterait l'une des attaques ci-dessus contre votre téléphone portable) , demander une réinitialisation à LastPass et réinitialiser immédiatement votre mot de passe principal LastPass à quelque chose de leur choix. Ils ont maintenant un accès complet à tous vos mots de passe. S'ils se sentent particulièrement vindicatifs, ils peuvent même vous exclure définitivement de tous vos comptes ( en désactivant la récupération de compte, puis en modifiant à nouveau votre mot de passe principal).

Employés LastPass

Bien sûr, votre principale préoccupation était les employés de LastPass. Il est cependant beaucoup plus difficile de répondre à cette question. La réponse dépend du type de contrôles d'accès dont ils disposent en interne dans leurs propres systèmes. Certes, votre suspicion générale est correcte: si une réinitialisation du mot de passe est possible, ils doivent en quelque sorte avoir accès à votre fichier de mot de passe principal (probablement seulement si vous activez la récupération de compte, car ils disent que cela ne fonctionne que si vous activez d'abord la récupération de compte ). Cela signifie que le système LastPass peut potentiellement décrypter vos mots de passe. Cependant, cela ne signifie pas que les employés peuvent en abuser. De nombreuses entreprises, en particulier celles qui stockent des données sensibles pour les utilisateurs finaux, disposent de nombreux contrôles d'accès internes qui empêchent les employés d'accéder directement aux données des utilisateurs finaux. Cependant, je doute que quiconque ici puisse vous dire si c'est le cas pour LastPass.

Dans la pratique, je serais beaucoup plus préoccupé par les risques associés à la récupération de compte sur SMS que sur les employés malveillants de LastPass. Quoi qu'il en soit, LastPass dit que la récupération de compte n'est possible que si vous l'avez activée , donc si vous le désactivez, vous ne devriez avoir à vous soucier de rien (à moins que vous ne fassiez pas confiance à LastPass pour être honnête, auquel cas vous devez comprendre comment exécuter vous-même un gestionnaire de mots de passe). N'oubliez pas votre mot de passe principal.

6
Conor Mancone