Los gestores web de contraseñas analizados fueron RoboForm, LastPass, My1Login, PasswordBox y NeedMyPassword.
Investigadores de seguridad de la Universidad de California, en Berkeley, han reportado el hallazgo de vulnerabilidades críticas en los gestores web de contraseñas RoboForm, LastPass, My1Login, PasswordBox y NeedMyPassword que pueden implicar el robo de credenciales de la cuenta del usuario.
Utilizados por millones de personas en todo el mundo, los gestores de contraseñas permiten al usuario el utilizar contraseñas fuertes sin tener que memorizarlas y que son difíciles de adivinar. Son herramientas útiles para almacenar principalmente nombres de cuentas de usuario y contraseñas que son utilizados para el acceso a sitios web.
Los gestores de contraseña permiten la generación aleatoria de contraseñas fuertes, conforme con reglas definidas, que el usuario no tiene que memorizar ya que el programa las introduce a requerimiento del usuario. Permiten también almacenar otro tipo de información, como datos personales y bancarios, que también pueden ser utilizados para el llenado de formularios o el acceso autenticado.
La simplicidad de su uso es el principal riesgo de los gestores de contraseñas ya que el usuario dispone de una contraseña maestra para acceder a toda la información almacenada en el gestor de contraseñas. Al ser expuesta la contraseña maestra quedan comprometidas todas las contraseñas y demás datos personales o bancarios almacenados. Si el usuario olvida o pierde la contraseña maestra no podrá acceder al gestor y a la información almacenada en él.
Los gestores web de contraseñas se ejecutan en el navegador, a diferencia de los gestores implementados localmente en el computador, que permiten inclusive la interacción con aplicaciones protegidas con autenticación de datos.
Los fabricantes de RoboForm, LastPass, My1Login, PasswordBox y NeedMyPassword fueron comunicados de los fallos encontrados y excepto el fabricante del programa NeedMyPassword todos han confirmado que ya han reparado los huecos de seguridad reportados por los investigadores de seguridad.
Las vulnerabilidades encontradas fueron en caracteristicas de los gestores de contraseñas, tales como contraseñas de una sola vez, bookmarklets y contraseñas compartidas. Las causas raíz de tales vulnerabilidades fueron desde errores de lógica y autorización hasta malentendidos sobre el modelo de seguridad web, además de vulnerabilidades típicas como CSRF y XSS.
Aunque no se han reportado indicios de ataques dirigidos para explotar los fallos de seguridad de estos programas gestores de contraseñas, es recomendable cambiar la contraseña maestra de acceso a tales aplicaciones.