[ Editar: tl; resumen del Dr .: cuando miramos las preocupaciones específicas planteadas en el documento sobre las extensiones del navegador del administrador de contraseñas, encontramos que 1Password tiene un diseño muy fuerte. No te dejes engañar por el título del periódico. Vea qué “fallas” se aplican y no se aplican a 1Password.]
Tengo que confesar tímidamente el hecho de que no estaba al tanto de ese documento, aunque claramente es algo de lo que deberíamos haber estado al tanto. En primer lugar, gracias por preguntar al respecto.
Esto también significa que mi respuesta aquí es “preliminar” y definitivamente está sujeta a revisión, pero quiero dar alguna respuesta. También quiero decir que el documento es muy bueno para comprender las dificultades para lograr que las extensiones del navegador hagan lo correcto y lo hagan de forma segura.
- ¿Cuáles son los riesgos de seguridad para la base de datos MongoDB cuando no hay una regla de firewall?
- ¿Por qué es Mac OS X confiable y sin virus?
- ¿Cuáles son las principales prácticas de prueba de seguridad para una aplicación web?
- ¿Qué aplicaciones / sistemas tenían en común Merck y Maersk que explicarían por qué ambos fueron tan afectados en el incidente de malware del 27 de junio?
- Cómo hackear o vigilar un teléfono inteligente Android de forma remota
Hay muchos defectos (potenciales) de los administradores de contraseñas basados en el navegador que figuran en la sección 2 del documento. Cuatro de ellos (secciones 2.1-2.4) hablan sobre cómo un administrador de contraseñas puede llenar algo en el lugar equivocado.
1. http vs https
1Password es uno de los gestores de contraseñas que lo hace “correcto”.
(Esto parece una cosa bastante obvia para hacer correctamente y no lo es
difícil.)
2. Presentación de origen cruzado
1Password fue el único administrador de contraseñas estudiado que lo hace “correcto”.
(Hemos trabajado muy duro en esto. No es tan fácil hacerlo correctamente como uno podría imaginar).
3. Equivalencia de subdominio
Todos los administradores de contraseñas probados (incluido 1Password) entienden esto “incorrectamente”.
El documento no es del todo correcto cuando dice que “ignoramos los subdominios al comparar los orígenes”. Después de todo, 1Password no reconocerá “Foo.com” y “bar.com” como equivalentes solo porque ambos son subdominios de “com”. Tenemos muchas reglas heurísticas y algo complicadas para tratar de descubrir qué subdominios “cuentan” como equivalentes, y estos se mantienen continuamente.
No es bonito, pero en general, tratamos de errar por el lado conservador, pero aún queremos un inicio de sesión para “online.bankname.example” que coincida con “www.bankname.example”.
Una cosa que nos ha permitido ser más conservadores con esto es que en 1Password 4, permitimos que se enumeren múltiples ubicaciones para un solo inicio de sesión. Esto permite usar para ajustar las reglas de coincidencia de subdominio.
4. Qué página de inicio de sesión en el sitio para llenar
1Password, junto con todos los demás probados, obtuvo este “incorrecto”.
En los días de sitios como angelfire o geocities, esto podría ser un problema real. Diferentes partes del mismo “sitio” estaban bajo el control de personas completamente diferentes. Por lo tanto, una página de inicio de sesión en una parte del sitio puede no ser para la “misma cosa” que para otra. Aquellos días se han ido.
Hemos pensado en agregar una función que permita a un usuario marcar un inicio de sesión como “solo esta página”, pero los casos de uso en el mundo real han sido extremadamente escasos. Así que, en última instancia, solo tenemos que llamar a esto un “riesgo conocido”.
Entonces, solo considerando esos cuatro (que son las verdaderas tripas de las cosas), 1Password funciona bien, y donde hemos tomado la decisión de que uno de sus criterios sea “incorrecto” ha sido una elección consciente y deliberada.
Es interesante que el documento en la sección 2.7 establece que “los mecanismos de autocompletado del navegador eran mucho más seguros que las extensiones probadas”. Sin embargo, 1Password está totalmente a la par con los rellenos incorporados. Mientras el periódico continúa
Tanto Firefox como Chrome respetan la política del mismo origen al completar las contraseñas y no las completan automáticamente cuando el esquema URI (http / https) o los subdominios del objetivo del formulario difieren de la página actual. Además, los navegadores se niegan a completar automáticamente las contraseñas cuando se envía un formulario de inicio de sesión a un dominio diferente al dominio en el que se muestra. Sin embargo, las contraseñas se completan automáticamente en cualquier página de una aplicación web siempre que esté dentro del mismo dominio.
Si tuviera que sustituir “1Password” por “Tanto Firefox como Chrome” en la primera oración y por “navegadores” en la segunda, seguiría siendo igual de cierto. Es decir, 1Password tiene éxito exactamente en las mismas cosas que hacen estos mecanismos “mucho más seguros”. (Tenga en cuenta que no mencionaron explícitamente la coincidencia de subdominios, por lo que no podemos compararlos).
Evilgrade vulnerabilidades
Hay algo por lo que definitivamente fuimos criticados:
En la sección 3, “Defectos de aplicaciones nativas”, señalan correctamente que algunas versiones de 1Password no utilizaron SSL para la actualización real y, por lo tanto, eran vulnerables a los ataques de “grado malvado”. El problema particular ya no es el caso. Ahora tenemos todos los componentes de la búsqueda de actualizaciones y la búsqueda de actualizaciones realizadas a través de SSL e insistiendo en una cadena de certificados de confianza. (Hemos experimentado con la fijación real de un certificado, pero eso no ha interactuado bien con la red de distribución de contenido que utilizamos).
Entonces, el problema particular se solucionó en (o cerca) del momento en que salió ese documento. Pero debo reconocer que esto es algo que hemos “arreglado” varias veces y luego nos hemos equivocado nuevamente al cambiar las cosas para diferentes sistemas de entrega.
Mitigar eso hasta cierto punto es que el actualizador observa el código de la versión obtenida y rechazará las descargas falsas.
El Gatekeeper de OS X en la mayoría de las configuraciones arrojará una gran advertencia si intenta iniciar algo sin la firma de verificación. Las versiones modernas de Windows le notificarán cuando ejecute el instalador si la firma no es válida.
Por lo tanto, tenemos una defensa de varias capas contra los ataques de “grado malvado”, pero como se señaló correctamente en el documento, también debemos asegurarnos de que todas las partes de la descarga provengan de fuentes autenticadas. Estamos haciendo eso ahora.
Conociendo los riesgos
Existen riesgos con el llenado automático de formularios, como señalan correctamente los autores. Sin embargo, me complace señalar que 1Password es al menos tan seguro o más seguro contra esos riesgos específicos que cualquier otra cosa que se discute aquí, incluidos los rellenos de formulario de navegador integrados.
También hay riesgos de no usar el llenado automático de formularios. Si, por ejemplo, usa copiar / pegar para trabajar con su administrador de contraseñas, entonces corre un riesgo mucho mayor de ser engañado por sitios de phishing o de filtrar datos a través del búfer de copiar / pegar del sistema.
Debe elegir su propia seguridad, lo que significa buscar los riesgos relativos de varias alternativas. Por supuesto, creo que 1Password es, con mucho, la mejor opción.
