El error se encontraba en el código de análisis (parse) de la URL que LastPass añade mediante la extensión de navegador. Este error permitía engañar al sistema, haciéndole creer que estaba en otra web y extrayendo los datos de acceso a ésta. Así, por ejemplo, uno podía visitar una web cualquiera, y hacer uso de este fallo de seguridad para obtener la contraseña de Twitter, Facebook y otros servicios online. El otro fallo permitía ejecutar acciones de LastPass en segundo plano sin conocimiento, por culpa de la extensión de Firefox.
Comentarios
Eso, id colocando todas vuestras contraseñas en una única web para que los hackers lo tengan todo juntito y solo necesiten hackear un sitio
#9 lo dices como si saltarse un cifrado SHA-256 fuese imposible
#12 De momento nadie lo ha conseguido.
#13 me apuesto unas 🍻 a que la NSA, los chinos y los rusos ya pueden desencriptarlo
#15 Bueno, que les aprovechen mis passwords a la NSA, los chinos y los rusos, que seguro que están superinteresados en ello. Mientras que no los pueda ver mi señora me conformo
#16 para tan solo necesitas una nota en papel con las contraseñas y dejarla en el trabajo
#12 Yo creo que si alguien puede saltarse un cifrado
SHA-256AES-256 con una buena contraseña, también es capaz de ir a tu casa y pedirte "amablemente" las contraseñas.Lo bueno del papel es que le obligas a ir a tu casa en vez de robártelas de forma remota, pero creo que un cifrado AES es lo suficientemente imposible de romper como para estar tranquilo. Yo no conozco a nadie que lo haya roto.
#9 El cifrado es AES.
#18 mis ahorros para cuando me jubile
#19 Valioso, desde luego! Cuando tengo yo de eso, utilizaré el mismo procedimiento
Lo de las sincronizaciones, PC - Nube es una mina para los crackers, si me apuráis hasta con los juegos de Steam.
Salu2
Y por eso amiguitos, es por lo que no se deben colocar todos los huevos en la misma cesta. La vagancia es el caldo de cultivo de la inseguridad, y un gestor de contraseñas esel culmen de la vagancia. Es más seguro apuntarlas en un cuaderno físico, y no sacarlas de casa.
#2 O usar un gestor de contraseñas totalmente offline, que no suba nada a la nube; KeePass2 por ejemplo.
#3 para que este completamente offline, el ordenador no debe tener conexion a internet
#5 O tener un firewall. En el caso de KeePass2 no es necesario, pero siempre es bueno tener controlado los permisos de conexión a internet.
Por cierto KeePass2 va a ser auditado públicamente por la Unión Europea en breve:
http://www.ghacks.net/2016/07/22/keepass-password-manager-icode-audit/
#6 si esta online, no impide que instalen algo que reenvie los dstps del keepass o de cualquier cosa.
Para estar a sañvo, no debe tener conexion internet nunca
#7 Claro, pero tendrían que saltarse el cifrado SHA-256 de la base de datos de KeePass también.
#3 Yo uso KeePass (de http://keepass.info) dentro de un contenedor de TrueCrypt (sí, aún no lo he abandonado). ¿Con KeePass2 te refieres al KeePass normal no?
#8 Si, pero la versión 2.x. La versión 1.x tiene un formato de base de datos menos oṕtimo.
#2 yo hago eso.
Y ademas, con encriptación "made myself" y la hoja guardada en una pequeña caja fuerte que solo puedo acceder yo (esto de la caja es para evitar que nadie pueda sacar una foto a la hoja. Si la caja es forzada o desparece, significa que als contraseñas están comprometidas). Y todo lo anterior duplicado en mi despacho para aue no desaparezcan por robo/incendio. Cada caja contiene un duplicado de la llave de la otra caja, por si pierdo la llave
#4 yo hago lo mismo tú, pero también le adjunto una piedrecita de uranio enriquecido. Así si alguien llega a leerlas me aseguro de que no va a sobrevivir.
#4 Jo. Der.
Espero que lo que protejas te sea tan valioso como para guardarlo con tanto celo.