最近,LastPass浏览器插件使用存储的凭据来处理实际的登录过程备受关注,很多读者对此也很感兴趣。现在,让我们列出关于LastPass浏览器插件使用存储的凭据来处理实际登录过程的最新消息。
尽管基于云的密码管理服务很方便,但一名安全研究人员警告说,将密码放在云中可能不是最好的主意。
在Gawker漏洞暴露了多个网站重复使用密码的人数后,人们开始关注再次使用KeePass、LastPass等密码管理应用。
这些服务不需要在Post-It上写下每个网站和程序的所有密码,也不需要将它们保存为计算机上的文本文件,而是允许用户输入登录凭据,并使用强主密码进行保护。
用户登录到LastPass帐户,然后单击站点登录,LastPass浏览器插件使用存储的凭据来处理实际的登录过程。然而,英国安全研究员Mike Cardwell表示,LastPass中存在跨站点脚本漏洞,攻击者可以通过该漏洞检查用户的电子邮件地址、密码提醒信息、与用户相关的网站列表以及每个网站的登录历史。他说,登录历史包括登录站点、登录尝试的时间和日期以及原始IP地址。
他说,虽然没有拿到“圣杯”拿到密码,“但我坚信可以做到。”
根据LastPass博客,Cardwell将漏洞告知了LastPass,该漏洞在三小时内得到修复。该公司表示,问题在于“我们针对这种特殊情况的检测程序”。尽管对这起失败的案例“感到失望”,但该公司有信心修复将“在短期内带来更强大的产品”。
该公司声称,没有人成功利用“找不到”漏洞,也没有影响客户数据。该公司写道,只有当用户访问设置为利用此漏洞的恶意网站,并且仍然登录到LastPass时,才能利用此漏洞。
卡德维尔说,LastPass的客户应该“仍然非常担心”。他说:“我相信这最终会成为他们架构的一个问题,未来很容易再次发生。”
该公司已经解决了Cardwell的一些问题,比如实现HSTS(HTTP严格传输安全)协议,以确保只要用户在LastPass页面上,Chrome和Firefox就会保持SSL连接。卡德维尔说,如果没有HSTS,中间人攻击可能会创建一个假的lastpass.com页面,并诱使浏览器使用iframe来获取该页面。
该公司表示,LastPass正在实施与CSP(内容安全政策)“非常相似的东西”。由Mozilla开发的CSP允许网站设计者和管理员控制内容在网站上的显示方式。该公司表示,CSP是防御此类攻击的“巨大进步”。
该公司还实现了X框架选项,这将使这种攻击更难利用,因为将LastPass页面嵌入另一个带有iFrame的页面是“不可能的”。
LastPass建议,虽然安全漏洞已经关闭,但相关用户仍然可以通过退出LastPass来保持安全,然后访问有可疑或与成人相关内容的网站。
卡德维尔说:“将您的密码管理外包给第三方可能有内在的危险。”