研究人员发现LastPass 2FA可能变成1FA

LastPass在收到Salesforce安全研究员MartinVigo的警告后，用其双因素身份验证(2FA)实现解决了许多问题。

该公司表示，这些问题现在已经解决，用户不必采取任何行动。

LastPass在一篇博客文章中说：“为了利用这个问题，攻击者需要采取几个步骤来绕过谷歌认证程序。

“首先，攻击者必须将用户吸引到一个邪恶的网站上。其次，用户在访问恶意网站时必须登录LastPass。这些因素结合在一起，降低了用户可能受到影响的可能性。”

根据Vigo的编写，他发现Lastpass使用用户密码的散列来生成QR代码，该代码用于在用户的设备上设置2FA。

维戈说：“Lastpass就是把2FA的秘密种子存储在一个可以从你的密码导出的URL下面。“这实际上超过了2FA的全部目的，2FA是一层安全措施，以防止已经拥有密码的攻击者登录。

“要正确看待这件事，想象一下，如果你把你最有价值的东西放在家里，你就会有一个保险箱。你认为门和保险箱有相同的锁是个好主意吗？门钥匙也应该打开保险箱吗？”

结合跨站点请求伪造（CS RF），Vigo说，他能够避免认证限制LastPass围绕2FA过程。

他说：“值得注意的是，攻击者没有必要潜入受害者的恶意网站。”“攻击者可以使用Facebook或Gmail等受受害者信任的站点上的任何XSS添加有效负载，窃取QR代码并将其发送回他的服务器。”

然后Vigo发现了另一个更简单的漏洞，允许他使用GET请求重新生成用户的2FA种子，通过这样做，LastPass将禁用用户的2FA。

LastPass通过添加CSRF令牌解决了2FA禁用问题，该公司正在寻找是否有任何其他CSRF漏洞。根据Vigo的说法，该公司还为其qr代码请求添加了对源头的检查，并将直接密码哈希替换为基于盐度的用户ID哈希。

该公司在维哥通知他们问题的第二天就申请了修复。

在过去的一年里，LastPass在安全方面有了一系列的突破。

3月，GoogleProjectZero研究人员TavisOrmandy在其Chrome扩展上发现了一个远程代码执行漏洞，该漏洞可能允许将不受信任的消息代理到LastPass。

Ormandy说：“这允许完全访问内部特权LastPass RPC命令。“内部有数百个LastPass RPC，但显然坏的是复制和填写密码（copypass、fill form等）的东西。”

LastPass早在2016年7月就去世了，当时谷歌的研究人员发现了允许LastPass账户远程妥协的漏洞。