Linux Adictos David Naranjo  

Los administradores de contraseñas no son tan seguros como dicen

Las conexiones en línea se han vuelto cada vez más numerosas desde la década de 2010, especialmente con la llegada de las redes sociales. Muchos servicios en línea animan a los usuarios a no usar la misma contraseña en todas partes.

Aquí es donde entran los administradores de contraseñas para ayudar a los usuarios a mantener todas las contraseñas que tienen centralmente con una capa de seguridad (agregar metadatos y muchos más).

¿Cómo el uso de un administrador de contraseñas?

Los administradores de contraseñas permiten el almacenamiento y recuperación de información confidencial de una base de datos cifrada.

Los usuarios confían en ellos para ofrecer mejores garantías de seguridad contra filtraciones insignificantes en comparación con otros medios para almacenar contraseñas, como archivos de texto inseguros.

En otras palabras, los administradores de contraseñas pueden mantener todas sus contraseñas utilizadas en Internet en un solo lugar, por lo que son muy útiles.

No todo es como lo pintan

Dicho esto, un grupo de evaluadores de seguridad independientes, ISE, informó esta semana que algunos de los administradores de contraseñas más populares tienen algunas vulnerabilidades que podrían explotarse para robar información de identidad de los usuarios, asumiendo que aún no han sido explotados por terceros.

En el informe que presentó el grupo, describieron las garantías de seguridad que los administradores de contraseñas deberían ofrecer y examinaron la operación subyacente de cinco administradores de contraseñas populares.

Ni el software libre esta exento

Estos son los administradores de contraseñas 1Password, Keepass, Dashlane y LastPass. Todos estos administradores de contraseñas enumerados a continuación funcionan de la misma manera, dicen.

Los usuarios ingresan o generan contraseñas en el software y agregan metadatos relevantes (por ejemplo, respuestas a preguntas de seguridad y el sitio para el que está diseñada la contraseña).

Esta información se cifra y luego se descifra solo cuando es necesario que la pantalla la transmita a un complemento del navegador que rellena la contraseña en un sitio web o la copia en el portapapeles para su uso.

Para cada uno de estos administradores, el grupo define tres estados de existencia: no se está ejecutando, desbloqueado y bloqueado.

En el primer estado, el administrador de contraseñas debe garantizar el cifrado para que, siempre que el usuario no use una contraseña trivial, un atacante no pueda adivinar de repente la contraseña maestra en una contraseña.

En el segundo estado, no debería ser posible extraer la contraseña maestra de la memoria directamente ni de ninguna otra forma para recuperar la contraseña maestra original.

Y en el tercer estado, todas las garantías de seguridad de un administrador de contraseñas no activo deben aplicarse a un administrador de contraseñas en estado bloqueado.

En su análisis, los evaluadores afirman haber examinado el algoritmo utilizado por cada administrador de contraseñas para convertir la contraseña maestra en una clave de cifrado y que el algoritmo carece de complejidad para resistir los ataques de craqueo actuales.

Sobre el análisis de los administradores de seguridad

En el caso de 1Password 4 (versión 4.6.2.628), la evaluación de su seguridad de funcionamiento encontró protecciones razonables contra la exposición de contraseñas individuales en el estado desbloqueado.

Desafortunadamente, esto fue sobrepasado por su manejo de la contraseña maestra y por varios detalles de implementación rotos al pasar del estado desbloqueado al estado bloqueado. La contraseña maestra permanece en la memoria.

Por lo tanto, es posible recuperar la contraseña maestra de 1Password ya que no se borra de la memoria después de colocar el administrador de contraseñas en un estado bloqueado.

Tomando 1Password (versión 7.2.576), lo que los sorprendió es que encontraron que es menos seguro ejecutar que 1Password en su versión anterior que 1Password 7 pues ha descifrado todas las contraseñas individuales de la base pruebe los datos tan pronto como se desbloquee y almacene en caché, a diferencia de 1Password 4, que solo ha almacenado una entrada a la vez.

Además, también encontraron que 1Password 7 no limpia las contraseñas individuales, ni la contraseña maestra, ni la clave secreta de la memoria al pasar del estado desbloqueado al estado bloqueado.

Luego, en la evaluación de Dashlane, los procesos indicaron que el enfoque estaba en ocultar secretos en la memoria para reducir los riesgos de extracción.

Además, el uso de marcos de memoria y GUI que impidieron la transmisión de secretos a varias API de sistemas operativos era exclusivo de Dashlane y podía exponerlos a escuchas maliciosas por malware.

Linux tampoco es la excepción

A diferencia de otros administradores de contraseñas, KeePass es un proyecto de código abierto. Similar a 1Password 4, KeePass desencripta las entradas a medida que interactúan.

Sin embargo, todos permanecen en la memoria porque no se borran individualmente después de cada interacción. La contraseña maestra se borra de la memoria y no se puede recuperar.

Sin embargo, mientras KeePass intenta asegurar los secretos borrándolos de la memoria, obviamente hay algunos errores en estos flujos de trabajo, porque encontramos, dicen, que incluso en un estado bloqueado, podríamos extraer las entradas con que había interactuado.

Las entradas interceptadas permanecen en la memoria incluso después de que KeePass se haya colocado en un estado bloqueado.

Finalmente, al igual que en 1Password 4, LastPass oculta la contraseña maestra cuando se ingresa en el campo de desbloqueo.

Una vez que la clave de descifrado se deriva de la contraseña maestra, la contraseña maestra se reemplaza por la frase “lastpass”.

Fuente: securityevaluators

El artículo Los administradores de contraseñas no son tan seguros como dicen ha sido originalmente publicado en Linux Adictos.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.