Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu

Programátor našel způsob, jak z LastPass ukrást bezpečně uložená hesla

  17:53aktualizováno  17:53
Jednoduchá chyba umožňovala útočníkům ukrást hesla z webové stránky pro libovolný server. Firma LastPass chybu vzápětí opravila.

LastPass 4.0 | foto: Pavel Kasík - Technet.cz

Program na správu hesel LastPass nabízí pohodlný způsob, jak mít pro každou stránku jiné silné heslo (což je důležité pro bezpečnost na webu). Mladý bezpečnostní výzkumník Mathias Karlsson ale našel relativně jednoduchý způsob, jak ochranu LastPass obejít.

Využil toho, že rozšíření pro prohlížeč špatně analyzovalo URL adresu stránky a jako doménu rozpoznalo i jinou část adresy, pokud byla oddělena zavináčem. Adresou http://avlidienbrunn.se/@twitter.com/@hehe.php tak přinutil rozšíření, aby vyplnilo jméno a heslo pro doménu twitter.com. Pokud by uživatel měl zapnuté automatické vyplňování, mohl by provozovatel takové stránky získat jeho heslo k libovolné doméně.

LastPass chybu během jednoho dne od upozornění opravil a Karlssona odměnil tisícem dolarů za nahlášení. Teprve pak Karlsson o chybě napsal článek. I když je chyba opravená, nabádá Karlsson k obezřetnosti: „Měli bychom přestat používat správce hesel? Ne. Jsou pořád mnohem lepší, než opakovat stejná hesla. Ale je asi dobrý nápad vypnout si automatické vyplňování jména a hesla, protože tohle není první ani poslední chyba tohoto druhu,“ dodává.

Další vhodnou ochranou je zapnutí dvojitého zabezpečení, a to jak u LastPass, tak u důležitých služeb (e-mail, sociální síť, bankovnictví).

Autor:


Témata: Hesla, Twitter


Hlavní zprávy

Najdete na iDNES.cz



mobilní verze
© 1999–2016 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je součástí koncernu AGROFERT ovládaného Ing. Andrejem Babišem.