Los administradores de contraseñas no son tan seguros como dicen

password-manager-relaunch_2018

Las conexiones en línea se han vuelto cada vez más numerosas desde la década de 2010, especialmente con la llegada de las redes sociales. Muchos servicios en línea animan a los usuarios a no usar la misma contraseña en todas partes.

Aquí es donde entran los administradores de contraseñas para ayudar a los usuarios a mantener todas las contraseñas que tienen centralmente con una capa de seguridad (agregar metadatos y muchos más).

¿Cómo el uso de un administrador de contraseñas?

Los administradores de contraseñas permiten el almacenamiento y recuperación de información confidencial de una base de datos cifrada.

Los usuarios confían en ellos para ofrecer mejores garantías de seguridad contra filtraciones insignificantes en comparación con otros medios para almacenar contraseñas, como archivos de texto inseguros.

En otras palabras, los administradores de contraseñas pueden mantener todas sus contraseñas utilizadas en Internet en un solo lugar, por lo que son muy útiles.

No todo es como lo pintan

Dicho esto, un grupo de evaluadores de seguridad independientes, ISE, informó esta semana que algunos de los administradores de contraseñas más populares tienen algunas vulnerabilidades que podrían explotarse para robar información de identidad de los usuarios, asumiendo que aún no han sido explotados por terceros.

En el informe que presentó el grupo, describieron las garantías de seguridad que los administradores de contraseñas deberían ofrecer y examinaron la operación subyacente de cinco administradores de contraseñas populares.

Ni el software libre esta exento

Estos son los administradores de contraseñas 1Password, Keepass, Dashlane y LastPass. Todos estos administradores de contraseñas enumerados a continuación funcionan de la misma manera, dicen.

Los usuarios ingresan o generan contraseñas en el software y agregan metadatos relevantes (por ejemplo, respuestas a preguntas de seguridad y el sitio para el que está diseñada la contraseña).

Esta información se cifra y luego se descifra solo cuando es necesario que la pantalla la transmita a un complemento del navegador que rellena la contraseña en un sitio web o la copia en el portapapeles para su uso.

Para cada uno de estos administradores, el grupo define tres estados de existencia: no se está ejecutando, desbloqueado y bloqueado.

En el primer estado, el administrador de contraseñas debe garantizar el cifrado para que, siempre que el usuario no use una contraseña trivial, un atacante no pueda adivinar de repente la contraseña maestra en una contraseña.

En el segundo estado, no debería ser posible extraer la contraseña maestra de la memoria directamente ni de ninguna otra forma para recuperar la contraseña maestra original.

Y en el tercer estado, todas las garantías de seguridad de un administrador de contraseñas no activo deben aplicarse a un administrador de contraseñas en estado bloqueado.

En su análisis, los evaluadores afirman haber examinado el algoritmo utilizado por cada administrador de contraseñas para convertir la contraseña maestra en una clave de cifrado y que el algoritmo carece de complejidad para resistir los ataques de craqueo actuales.

Sobre el análisis de los administradores de seguridad

En el caso de 1Password 4 (versión 4.6.2.628), la evaluación de su seguridad de funcionamiento encontró protecciones razonables contra la exposición de contraseñas individuales en el estado desbloqueado.

Desafortunadamente, esto fue sobrepasado por su manejo de la contraseña maestra y por varios detalles de implementación rotos al pasar del estado desbloqueado al estado bloqueado. La contraseña maestra permanece en la memoria.

Por lo tanto, es posible recuperar la contraseña maestra de 1Password ya que no se borra de la memoria después de colocar el administrador de contraseñas en un estado bloqueado.

Tomando 1Password (versión 7.2.576), lo que los sorprendió es que encontraron que es menos seguro ejecutar que 1Password en su versión anterior que 1Password 7 pues ha descifrado todas las contraseñas individuales de la base pruebe los datos tan pronto como se desbloquee y almacene en caché, a diferencia de 1Password 4, que solo ha almacenado una entrada a la vez.

Además, también encontraron que 1Password 7 no limpia las contraseñas individuales, ni la contraseña maestra, ni la clave secreta de la memoria al pasar del estado desbloqueado al estado bloqueado.

Luego, en la evaluación de Dashlane, los procesos indicaron que el enfoque estaba en ocultar secretos en la memoria para reducir los riesgos de extracción.

Además, el uso de marcos de memoria y GUI que impidieron la transmisión de secretos a varias API de sistemas operativos era exclusivo de Dashlane y podía exponerlos a escuchas maliciosas por malware.

Linux tampoco es la excepción

A diferencia de otros administradores de contraseñas, KeePass es un proyecto de código abierto. Similar a 1Password 4, KeePass desencripta las entradas a medida que interactúan.

Sin embargo, todos permanecen en la memoria porque no se borran individualmente después de cada interacción. La contraseña maestra se borra de la memoria y no se puede recuperar.

Sin embargo, mientras KeePass intenta asegurar los secretos borrándolos de la memoria, obviamente hay algunos errores en estos flujos de trabajo, porque encontramos, dicen, que incluso en un estado bloqueado, podríamos extraer las entradas con que había interactuado.

Las entradas interceptadas permanecen en la memoria incluso después de que KeePass se haya colocado en un estado bloqueado.

Finalmente, al igual que en 1Password 4, LastPass oculta la contraseña maestra cuando se ingresa en el campo de desbloqueo.

Una vez que la clave de descifrado se deriva de la contraseña maestra, la contraseña maestra se reemplaza por la frase “lastpass”.

Fuente: securityevaluators

5 comentarios, deja el tuyo

  1.   anonimo dijo

    Las contraseñas no deben guardarse en otro lugar que no sea un cuaderno escritas con bolígrafo…el resto es como el cuento del tio.

  2.   Paco dijo

    totalmente de acuerdo, como la libreta no hay nada ya que es un poco dificil que los hackers
    entren en tu casa a robarte la libreta

  3.   luix dijo

    Cual sería el administrador más seguro?

  4.   Weedhat dijo

    Exageración total, es obvio que un administrador de contraseñas no es 100% seguro, porque nada es 100% seguro señores… Aun así, siempre, siempre será más seguro usar un gestor de contraseña a no usarlo. ¿Lapiz y papel? Absurdo al menos que solo tengas 3 o 4 contraseñas, pero para personas como yo que tenemos 50, 100 o más cuentas diferentes en distintos sitios no tiene el más mínimo sentido, a eso hay que sumarle que si pierdes el papel o el pendrive, dile adiós a tu vida digital. En 2019 no tiene el más mínimo sentido guardar tus contraseñas en otro lado que no sea en la nube todo debidamente cifrado. Lastpass es lo más seguro que se puede usar en la actualidad, el que afirme lo contrario no sabe de lo que habla, es simplemente un usuario promedio. Saludos.

  5.   martin dijo

    yo uso https://bitwarden.com/ que dice el informe de este gestor de cotraseñas?

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.