Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной
В менеджере паролей LastPass исправлена серьезная уязвимость, позволяющая обойти механизм двухфакторной аутентификации. По словам обнаружившего уязвимость исследователя Мартина Виго (Martin Vigo), проэксплуатировать ее можно, только предварительно взломав мастер-пароль пользователя.
Не стоит недооценивать проблему. Двухфакторная аутентификация представляет собой второй уровень защиты на случай, если злоумышленникам каким-либо образом удалось завладеть мастер-паролем пользователя. Обнаруженная Виго уязвимость сводит эффективность двухфакторной аутентификации в LastPass к нулю, делая ее совершенно бесполезной.
Проблема заключалась в том, что закрытые криптографические ключи LastPass в виде QR-кода хранились по URL-адресу, созданному на основе пароля. Атакующему, которому известен данный пароль, достаточно лишь вычислить хранящийся локально QR-код, получить второй код двухфакторной аутентификации и открыть чужой менеджер паролей.