web-dev-qa-db-ja.com

LastPass SMS Recoveryはセキュリティリスクですか?

LastPass FAQによると、LastPassの従業員は保存されたパスワードを表示したり解読したりすることはできません。

LastPassは、256ビットのAES暗号化を使用してサーバーに送信する前に、Vaultを暗号化します。 Vaultはコンピュータを離れてLastPassサーバーに到達する前にすでに暗号化されているため、LastPassの従業員でさえ機密データを見ることができません!

ただし、マスターパスワードを紛失した場合に備えて、SMS Recoveryを使用するオプションがあります。

マスターパスワードを忘れた後にアカウントにアクセスする1つの方法は、SMSリカバリを使用してパスワードをリセットすることです。ただし、この方法では、マスターパスワードを忘れる前に、LastPassでSMSアカウントの回復を有効にする必要があります。マスターパスワードの取得でSMSリカバリをすでに有効にしている場合は、次の手順を実行します。

  1. https://lastpass.com/recover.php に移動し、メールアドレスを入力して、[続行]をクリックします。
  2. システムはあなたの電話に数値コードをテキスト送信します。このコードをブラウザに入力し、[確認]をクリックします。
  3. [Press to Recover Account]をクリックします。
  4. 多要素認証が有効になっている場合は、自分自身を認証しますが、この手順では、Webブラウザーに認証番号を入力する必要があります。
  5. 次のウィンドウが表示され、アカウントの回復が検出されたため、すぐにパスワードを変更する必要があることが通知されたら、[OK]をクリックして続行します。
  6. 新しいマスターパスワードとパスワードヒント(オプション)を入力し、[確認]をクリックします。
  7. パスワードが変更されたというメッセージが表示され、手動でログアウトするように求められたら(自動的にログアウトされない場合)、[OK]をクリックして続行します。
  8. LastPassからログオフすると、新しいマスターパスワードを使用して再度ログインできます。

これは、保存されたパスワードが元のマスターパスワードを知らなくても復号化され、新しいマスターパスワードで再暗号化されることを示唆しています。これはすべてのサーバー側で発生します。

私には、LastPassの従業員がこの方法を悪用してユーザーのパスワードを復号化できるように思えます。

私は正しいですか、何か不足していますか?

smslastpassrecovery
13
eKKiM

はい、それは Conor Mancone が指摘する理由により、わずかなセキュリティリスクです。しかし、いいえ、それはLastPassがマスターパスワードをサーバーに保存することを意味しているわけではありません。ハッカーになろうとしているのは、リカバリSMSを取得するだけではありません。

SMSリカバリを使用するには、以前にLastPassを使用したコンピュータとブラウザにアクセスできる必要があります。LastPassは、ログイン時にコンピュータにリカバリワンタイムパスワード(rOTP)を生成して保存します新しいコンピューター/ブラウザーで初めて。このrOTPは基本的に2番目のマスターパスワードのように機能し、コンピューターにローカルにのみ保存されますが、アカウントの回復を要求するまで無効になります。回復SMS rOTPをアクティブにし、それを使用してボールトにアクセスして復号化できるようにします。その後、選択した新しいマスターパスワードを使用して再暗号化できます(rOTPは一度使用すると永久に無効になります)。

以前にLastPassを使用したことのあるコンピューターにアクセスできない場合、SMSリカバリーは機能しません。これは、それを使用してボールトにアクセスするハッカーまたはLastPassの従業員が最初に以前にLastPassにログインしていて、残っているトレースを削除する手順を実行していないコンピューターへのアクセス。

詳細は ブログ投稿 にありますSMS回復機能です。- LastPassヘルプファイルの引用 残念ながらあいまいで、rOTPで混乱しています部。

LastPassテクニカルホワイトペーパー (リンクが安定していることを確認できないため、より技術的な(あいまいさが少なくなった)説明が表示されるので、下部にある[テクニカルホワイトペーパー]をクリックします LastPass Enterpriseの概要 壊れている場合)。 10ページの「回復」を参照してください。

9
korsbakken

この回答では、このようなシステムの一般的な注意点について説明しますが、LastPassのリカバリシステムの実装に関する詳細はありません。 LastPassに固有の詳細については、@ korsbakkenの優れた回答を参照してください。

本当のリスク

はい、これはセキュリティ上のリスクであり、方法とは何の関係もなく、パスワードの回復を可能にします。これは、SMSが2FAまたはアカウント復旧のための安全なチャネルではないという最近のニュースで多くの波を起こしている事実であるという単純な事実に関係しています。ここに記事がありますセキュリティ研究者が傍受SMSモバイルネットワークで移動中:

https://www.theverge.com/2017/9/18/16328172/sms-two-factor-authentication-hack-password-bitcoin

しかし、もう1つの一般的な(そして比較的簡単な)攻撃方法は、SIMスワッピングと呼ばれるものです。

https://www.digitaltrends.com/mobile/sim-swap-fraud-explained/

私が確信しているオプションは他にもありますが、それらはすべて同じ効果を持っています。このような場合、攻撃者は攻撃者の多くが、アカウントの復旧を傍受するのに十分な期間、ターゲットのテキストメッセージを傍受することができます。実際には、攻撃者があなたのアカウントへのアクセスを望んでいる場合、LastPassアカウントでSMS復旧したことを知っていて、電話番号も知っていれば、携帯電話に対して上記の攻撃のいずれかを実行します。キャリア、LastPassからのリセットを要求し、LastPassマスターパスワードを選択したものにすぐにリセットします。彼らはすべてのパスワードに完全にアクセスできるようになりました。彼らが特に信頼できると感じている場合は、すべてのアカウントを永久にシャットダウンすることもできます(アカウントの復元をオフにしてから、マスターパスワードをもう一度変更します)。

LastPass従業員

もちろん、主な関心事はLastPassの従業員でした。ただし、その質問に答えるのははるかに困難です。答えは、ユーザーが自分のシステムの内部でどのようなアクセス制御を行っているかによって異なります。確かにあなたの一般的な疑いは正しいです:パスワードのリセットが可能である場合、彼らは何らかの方法でマスターパスワードファイルにアクセスできる必要があります(おそらくアカウントの復旧を有効にした場合のみです。 )。これはdoesは、LastPassシステムがパスワードを解読できる可能性があることを意味します。ただし、これはしないということは、従業員がそれを悪用できることを意味します。多くの企業、特にエンドユーザーの機密データを保存している企業には、従業員がエンドユーザーのデータに直接アクセスできないようにする多くの内部アクセス制御があります。ただし、LastPassがそうであるかどうかは、ここの誰もが教えてくれるとは思えません。

実際には、SMSよりも、悪意のあるLastPassの従業員よりも、アカウントの回復に関連するリスクの方がはるかに心配です。LastPassは、アカウントの回復は、それを有効にした場合にのみ可能であると述べていますなので、これをオフにしても、何も心配する必要はありません(LastPassが正直であると信頼していない場合は、自分でパスワードマネージャーを実行する方法を理解する必要があります)。マスターパスワード。

6
Conor Mancone