Lesspass: Pregunta: Buscando claridad adicional sobre las preguntas frecuentes sobre la comparación de KeePass vs LessPass

Creado en 30 ene. 2021  ·  4Comentarios  ·  Fuente: lesspass/lesspass

De las preguntas frecuentes, KeePass vs LessPass :

Almacene cuentas / contraseñas en una base de datos cifrada con su contraseña maestra

vs

Calcule una contraseña única para cada cuenta basada en su contraseña maestra; su contraseña generada nunca se guarda

La base de datos cifrada es de poca utilidad sin la contraseña maestra para descifrarla. Si el atacante tenía la contraseña maestra, aún necesita la base de datos encriptada para obtener las contraseñas contenidas, ya que no se derivan de la contraseña maestra.

Por el contrario, aunque LessPass no almacena contraseñas, la contraseña maestra en sí misma es una forma de almacenamiento. Una vez que se conoce, las contraseñas de los usuarios ya no están protegidas. Es poco probable que los perfiles para acomodar los servicios que los necesitan se desvíen mucho de los requisitos mínimos de los servicios; si el usuario se ha desviado explícitamente de esto, sí beneficia la seguridad, los parámetros de perfil como el contador lo son menos.

Sin embargo, es probable que los perfiles se almacenen y, por lo tanto, sean similares a la comparación de un archivo de base de datos cifrado. Un beneficio para LessPass es que los servicios pueden ser deterministas en la generación de contraseñas, pero no es tan probable que sean obvios cuáles se usan junto con otros metadatos de la cuenta. Si el atacante no busca un servicio específico o probablemente para iniciar sesión con las credenciales de los objetivos, esto puede ser menos riesgoso de comprometer.

La base de datos puede ser robada y forzada sin conexión, las contraseñas no se cifran individualmente, por lo que toda la base de datos es vulnerable.

vs

Tendría que usar la fuerza bruta en sitios web para adivinar las contraseñas maestras, la mayoría de los sitios registran y mitigan esto (reCAPTCHA, bloqueo de múltiples intentos, etc.)

Suponiendo que se utilizó una contraseña maestra adecuada para proteger la base de datos cifrada, el ataque fuera de línea no es tan factible. Creo que este ha sido el caso de LastPass cuando se vio comprometido, los atacantes tenían datos cifrados, pero era efectivamente inútil sin las claves para descifrar.

Se describe que LessPass requiere atacar los sitios web ... un ataque más práctico sería contra un sitio web que tiene una brecha donde la base de datos con hashes de contraseña se ve comprometida. Esto también permite un ataque fuera de línea.

LessPass es aún más fuerte, en el sentido de que el atacante no solo necesita realizar 100k iteraciones de PBKDF2 para adivinar la contraseña maestra, sino que la contraseña generada para la cuenta del sitio web también debe pasar por esos servicios de hash lento / KDF. Combinado, puede elevar el cálculo por conjetura por encima del de KeePass.

TL; DR:

  • La contraseña maestra de LessPass es casi equivalente a la contraseña maestra de KeePass + la base de datos cifrada. La contraseña maestra de KeePass no es útil sin acceso a la base de datos cifrada.
  • LessPass puede tener datos de perfil almacenados, que junto con una contraseña maestra permite el acceso a cada servicio con el que el usuario tiene una cuenta . Sin embargo, tener la contraseña maestra no revela todos los servicios que el usuario ha registrado con contraseñas generadas por LessPass.
  • LessPass también puede hacer que la contraseña maestra sea atacada sin conexión. Solo requiere acceso a una base de datos desde un servicio con el que el usuario tiene una contraseña LessPass, que si tiene éxito permite al atacante generar contraseñas para otros servicios de manera determinista.

¿He entendido esta comparación correctamente?

Para la mayoría de los usuarios y sus contraseñas, una contraseña maestra de LessPass es equivalente a tener todas las contraseñas derivadas, y es más accesible para los atacantes que los proveedores en la nube o KeePass (o aplicaciones similares), ya que un solo servicio violado y la filtración de hashes de contraseña permite atacando para empezar?

Sin pedir ningún cambio en la wiki, creo que puede ser seguro asumir que las comparaciones de una de las partes pueden estar sesgadas (por ejemplo, no se mencionan inconvenientes como cambiar la contraseña maestra ).

help wanted
Fuente
picture polarathene

Todos 4 comentarios

La contraseña maestra de LessPass es casi equivalente a la contraseña maestra de KeePass + la base de datos cifrada. La contraseña maestra de KeePass no es útil sin acceso a la base de datos cifrada.

Sí, excepto que con KeePass no tiene acceso a las contraseñas futuras.

LessPass puede tener datos de perfil almacenados, que junto con una contraseña maestra permite el acceso a cada servicio con el que el usuario tiene una cuenta. Sin embargo, tener la contraseña maestra no revela todos los servicios que el usuario ha registrado con contraseñas generadas por LessPass.

Sí, pero tenga en cuenta que guardar perfiles de contraseña en la base de datos LessPass es para sitios web que no aceptan las opciones predeterminadas.

LessPass también puede hacer que la contraseña maestra sea atacada sin conexión. Solo requiere acceso a una base de datos desde un servicio con el que el usuario tiene una contraseña LessPass, que si tiene éxito permite al atacante generar contraseñas para otros servicios de manera determinista.

Sí, esta es una de las debilidades de LessPass. Si un atacante obtiene su contraseña sin procesar de una base de datos filtrada, puede intentar forzar su contraseña maestra. Esto se mitiga si la entropía de su contraseña maestra es suficiente.

Entonces no sé cómo aclarar esto. ¿Tienes una propuesta?

guillaumevincent picture guillaumevincent en 31 mar. 2021
👍1

Cierro.
No dude en publicar en este hilo para pedir ayuda adicional.

guillaumevincent picture guillaumevincent en 2 abr. 2021

Sí, excepto que con KeePass no tiene acceso a las contraseñas futuras.

No entiendo muy bien lo que quiere decir aquí con acceso a contraseñas futuras. ¿Se refiere a que el atacante tiene una copia de la base de datos y que el usuario no agregará nuevas contraseñas al actualizar su base de datos de contraseñas?

Esto se mitiga si la entropía de su contraseña maestra es suficiente.

Acordado.

Entonces no sé cómo aclarar esto. ¿Tienes una propuesta?

Creo que solo estaba planteando algunas preocupaciones sobre algún sesgo en la comparación, pero cualquier otra persona que se sienta similar se encontrará con este problema al investigar, por lo que no es necesario hacer nada :)

polarathene picture polarathene en 3 abr. 2021

No entiendo muy bien lo que quiere decir aquí con acceso a contraseñas futuras. ¿Se refiere a que el atacante tiene una copia de la base de datos y que el usuario no agregará nuevas contraseñas al actualizar su base de datos de contraseñas?

Si alguien robó su contraseña maestra de LessPass, puede generar sus contraseñas reales y sus contraseñas futuras.

Si alguien te robó la contraseña maestra de Keepass + tu base de datos de KeePass, solo tendrá acceso a tus contraseñas reales.

guillaumevincent picture guillaumevincent en 3 abr. 2021
👍1
¿Fue útil esta página
0 / 5 - 0 calificaciones

Temas relacionados

jtdoepke picture jtdoepke  ·  5Comentarios
jparsert picture jparsert  ·  3Comentarios
guillaumevincent picture guillaumevincent  ·  3Comentarios
0x2b3bfa0 picture 0x2b3bfa0  ·  3Comentarios
eratio08 picture eratio08  ·  5Comentarios