Consiguen extraer la clave maestra de 1Password en texto plano
Los usuarios de internet -es decir, todo el mundo- tenemos cuentas por doquier y en muchos casos reutilizamos (alguna vez me pasa hasta a mí) las contraseñas en varios sitios web. Los usuarios más concienciados ya comienzan a emplear gestores de contraseñas, lo que les permite contar con credenciales únicas para cada sitio sin tener que recordarlas todas. Esto es, bajo una contraseña maestra que desbloquea todas las demás. Sin embargo y como veremos hoy, hasta los gestores de contraseñas pueden provocarnos problemas de seguridad.
Los gestores de contraseñas no dejan de ser un software o servicio que corre sobre un servidor (en el caso de los que son cloud) que por definición pueden tener sus errores de código y por tanto sus vulnerabilidades. Es importante estar informado hasta cierto punto de las novedades en seguridad informática para enterarnos cuando sea así y saber qué medidas tomar.
Sin ir más lejos, otro popular gestor de contraseñas -que por cierto os recomiendo- llamado Abine Blur solicitó recientemente a los usuarios cambiar su contraseña maestra como medida de prevención, tras haberse filtrado los hashes de las contraseñas maestras de miles de usuarios. Todos han pasado por el aro a estas alturas.
Vulnerabilidad en 1Password permite obtener la contraseña maestra
ISE, una firma de consultoría independiente de ciberseguridad con sede en Baltimore, decidió que era buena idea poner a prueba algunos gestores de contraseñas populares para ver si podrían «hacerlos caer» y revelar sus secretos tan bien guardados. Aunque no es fácil, lo malo es que parece posible.
En el estudio Password Managers: Under the hood of secrets management comienzan destacando las garantías de seguridad que un gestor de contraseñas normalmente nos ofrecería. Se detallan los diferentes estados de estos programas -bloqueado, desbloqueado y en funcionamiento- y dependiendo del modo de funcionamiento de la aplicación, se esperan ciertos grados de seguridad para los datos.
Por desgracia, cada una de las 5 aplicaciones testeadas por ISE contenía alguna o varias vulnerabilidades que filtraban contraseñas. El equipo incluso fue capaz de obtener la contraseña maestra de una instancia bloqueada de 1Password 4. En la siguiente imagen podéis ver una demostración:
El informe completo contiene información valiosa sobre estos hallazgos (no solo 1Password) con sus gráficos y explicaciones. Además os lo recomiendo porque, sin ser demasiado técnico ni demasiado sencillo, este artículo os ayudará a entender mejor cómo funcionan los password managers. La firma promete monitorizar dichas aplicaciones de nuevo en el futuro para ver su evolución.
Te puede interesar – Cómo crear contraseñas seguras rápidamente
No se sabe si ISE contactó con los desarrolladores para comentarles estos descubrimientos para que lancen actualizaciones, pero al menos detallan una seria de mecanismos que podemos utilizar para permanecer seguros entre tanto. También se ofrece un listado de «buenas prácticas» para usuarios finales.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Este administrador esta basado en la nube verdad?
Yo estoy usando KeepassXC que es de código abierto para Linux, Windows y creo que ya está para Mac también. Supongo que no es impenetrable tampoco pero al estar en tu pc descargado y el archivo cifrado que contiene todas las contraseñas en un pendrive por si queres llevarlo a otros lados creo que es bastante difícil que te puedan robar de esta forma.
Si la memoria no me traiciona 1password es un cliente de escritorio igual que otros, pero que cuenta con un servicio de sincronización en la nube. El hecho de que sea más seguro o menos no depende tanto de si es cloud o no, sino de lo depurado de su código, que pase análisis de vulnerabilidades independientes y dichos fallos se corrijan. No hay nada 100% seguro. También importan y mucho las costumbres del usuario, porque normalmente para explotar una vulnerabilidad antes hace falta una intervención por nuestra parte. Saludos.