LastPass 密码管理器新漏洞无法挽救双因素身份验证

[rakhirhif8963]

谢尔盖·斯特尔马赫| 2016 年 1 月 18 日
增加LastPass 中发现的漏洞仅影响 Chrome 浏览器用户
LastPass 中发现的漏洞仅影响 Chrome 浏览器用户
LastPass 是最受欢迎的密码管理器之一，这也许就是为什么最近出现很多关于其安全问题的报道。于是，去年11月底，安全专家就发现了LastPass中存在多个漏洞，而更早的，2015年夏天，这款密码管理器就遭到了黑客的攻击。现在，独立研究员 Sean Cassidy 发现 LastPass 容易受到网络钓鱼攻击，可能会危及用户的主密码。

卡西迪将他发现的这个漏洞命名为“LostPass”。正如他在博客中报道的那样，他创建了一个特殊的工具来激活它。它可用于自动对 LastPass 用户实施简单的网络钓鱼攻击。通过获取受害者密码存储的主密码，黑客不仅可以访问密码，还可以访问电子邮件和文档。

发现的漏洞利用方式如下。首先，攻击者诱骗 LastPass 帐户所有者访问其网站，该网站会显示一条虚假通知，告知其会话已过期，需要重新登录。由于该通知是伪造的，单击“再试一次”按钮将把受害者带到一个与标准 LastPass 登录和密码表单完全相同的特制页面。它甚至会有一个与安装的扩展程序打开的浏览器服务页面通常具有的地址几乎相同的地址。

在钓鱼网站上输入您的登录名和密码后，它们就会 印度尼西亚电报数据 落入黑客的手中。即使用户启用了双因素身份验证，攻击仍然有效。攻击者可以使用窃取的凭证攻击 LastPass API，对其进行验证，甚至提示用户输入双因素身份验证码。

网络钓鱼攻击仅针对 Chrome 浏览器用户。 Firefox 和其他浏览器使用不同的机制来显示 LastPass 弹出通知。

密码管理器的开发人员已经意识到了这个问题。卡西迪于 2015 年 11 月与他们取得了联系。在审查了他的发现后，该公司得出结论：“这不是一个漏洞，而是一个网络钓鱼攻击。”然而，开发人员已尝试重新设计显示有关过期会话的通知的机制。根据卡西迪的报告，新技术无济于事，它仍然依赖于网络注入，使用户容易受到攻击。

在 LastPass 开发人员采取行动防止此类网络钓鱼攻击之前，用户可以暂时禁用该服务的浏览器扩展。卡西迪建议他们使用应用程序而不是浏览器扩展。他还指出，LastPass 付费版本中提供的 IP 限制比双因素身份验证更安全。保护用户的更彻底的选择是找到一个等效的 LastPass 替代品来存储密码和敏感数据。