{"id":1201,"date":"2019-02-26T14:02:38","date_gmt":"2019-02-26T14:02:38","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1201"},"modified":"2019-02-26T14:02:38","modified_gmt":"2019-02-26T14:02:38","slug":"los-administradores-de-contrasenas-son-tan-seguros-como-parecen","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1201","title":{"rendered":"\u00bfLos administradores de contrase\u00f1as son tan seguros como parecen?."},"content":{"rendered":"

\n\t\"\"Muchas personas para mantener vivo el principio de poseer una contraseña diferente para cada servicio o acceso que utiliza en su interacción con las tecnologías de la información y las comuniocaciones, utilizan los administradores de contraseñas. Un estudio sobre estas aplicaciones ha sacado a la luz algunas debilidades que presentan en su diseño.\n<\/p>\n

<\/p>\n

\n\tSe han descubierto debilidades en administradores de contraseñas que muestran las credenciales en texto plano en el momento de ejecución e incluso las mantiene almacenadas en memoria mientras la aplicación está funcionando, aún habiéndose cerrado sesión o bloqueado el administrador de passwords.\n<\/p>\n

\n\tEl equipo de investigadores de Independent Security Evaluator (ISE)<\/em> ha analizado diferentes gestores de contraseñas, y en cada uno de los casos han obtenido fallos a la hora de gestionar la interacción con las bases de datos o en el uso de la clave maestra.\n<\/p>\n

\n\tLa buena noticia es que todos los administradores que han sido analizados mantienen con éxito las contraseñas seguras cuando el software no se esta ejecutando<\/strong>, permaneciendo cifradas en su base de datos.\n<\/p>\n

\n\tSin embargo, la cosa cambió cuando observaron cómo estos productos protegen las contraseñas cuando se está ejecutando, tanto en el estado de bloqueo (Cuando la aplicación está encendida pero no está la sesión iniciada) como de desbloqueo (sesión activa, después de ingresar la contraseña maestra). A continuación veremos una breve explicación de los resultados de la investigación.\n<\/p>\n

\n\t1Password4 para Windows<\/em> (v4.6.2.626)<\/strong>\n<\/p>\n

\n\tComo puntos positivos<\/strong> de esta versión, en el caso de que un usuario acceda a varias contraseñas de la base de datos, una vez que está logeado, el programa se encarga de eliminar de memoria la contraseña anterior para cargar la nueva seleccionada. \n<\/p>\n

\n\tComo punto negativo<\/strong>, tras iniciar sesión, la contraseña maestra se mantiene almacenada en memoria (aunque ofuscada), y al cerrar sesión el programa falla al limpiar dicha contraseña. Por otro lado encontraron un fallo cuando un usuario realiza ciertas acciones, la contraseña maestra se almacena en texto plano en memoria incluso cuando está bloqueado.\n<\/p>\n

\n\t1password7 para <\/strong>Windows<\/strong><\/em> (v7.2.57)<\/strong>\n<\/p>\n

\n\tA pesar de ser una versión actual, se descubrió que es menos segura que su predecesor 1password4<\/strong>, ya que descifra y cachea todas las contraseñas de la base de datos en vez de una por una. También falló al eliminar las contraseñas de memoria, incluyendo la maestra al cerrar sesión.\n<\/p>\n

\n\tDashlane para Windows<\/em> (v6.1843.0)<\/strong>\n<\/p>\n

\n\tComo puntos positivos <\/strong>Dashlane<\/em>, al igual que 1password4,<\/em> solo carga en memoria la contraseña que se está utilizando, eliminando la utilizada anteriormente. También destacar el uso de frameworks para el manejo de memoria y GUI que evitan que la información pase por diferentes APIs del sistema. \n<\/p>\n

\n\tComo punto negativo<\/strong>, cuando el usuario actualiza algún dato, se expone la base de datos entera en texto plano, manteniéndose hasta incluso cuando cerramos sesión en la aplicación.\n<\/p>\n

\n\tKeePass Password Safe (2.40)<\/strong>\n<\/p>\n

\n\tKeepas es un proyecto Open Source, y al igual que 1password4, va descifrando según vamos utilizando cada contraseña, almacenándola en memoria. Lo que ocurre es que no va eliminando los registros después de ser utilizados por lo que al rato de ser utilizado, tendremos la lista de contraseñas usadas cargada en memoria. Por otro lado, una vez utilizada la contraseña maestra, se elimina y se vuelve irrecuperable.\n<\/p>\n

\n\tLastPass (v4.1.59)<\/strong>\n<\/p>\n

\n\tLa base de datos entera permanece en memoria incluso cuando está bloqueada o cerramos sesión. Además, cuando se obtiene la clave de descifrado, la contraseña maestra se filtra en un string buffer<\/em>, de donde no se elimina, incluso cuando la aplicación se bloquea.\n<\/p>\n

\n\tAlgunas de las marcas afectadas han defendido públicamente sus productos, afirmando que estos problemas descubiertos son parte de complejas decisiones o ‘trade-offs’<\/em> de diseño.\n<\/p>\n

\n\tLastPass afirmó que había solucionado los problemas encontrados en su producto <\/strong>y señaló que un atacante aún requeriría acceso privilegiado a la máquina del usuario.\n<\/p>\n

\n\tMás información:<\/strong>
\n\tNakedsecurity.sophos.com
\n\thttps:\/\/nakedsecurity.sophos.com\/2019\/02\/21\/password-managers-leaking-da…<\/a>\n<\/p>\n

\n\tIndependent Security Evaluators
\n\thttps:\/\/www.securityevaluators.com\/casestudies\/password-manager-hacking\/<\/a>\n<\/p>\n

\n\t <\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

Muchas personas para mantener vivo el principio de poseer una contraseña diferente para cada servicio o acceso que utiliza en su interacción con las tecnologías de la información y las comuniocaciones, utilizan los administradores de contraseñas. Un estudio sobre estas … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[8,15,18,28,40],"tags":[],"class_list":["post-1201","post","type-post","status-publish","format-standard","hentry","category-contrasenas","category-informaciones","category-password","category-seguridad-informatica","category-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1201"}],"version-history":[{"count":1,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1201\/revisions"}],"predecessor-version":[{"id":1202,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1201\/revisions\/1202"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}