LastPass 双因素机制存在缺陷可被绕过

LastPass双因素实现中存在设计缺陷，可被黑客利用绕过双因素验证并获取对用户账户的访问权限。

Salesforce研究员Martin Vigo在2015年11月份在LastPass中发现多个漏洞，目前再次对LastPass双因素验证机制进行了分析。这些临时的双因素验证代码基于多个变量生成，包括用户可通过双因素验证app如Google Authenticator等扫描的编码到QR代码中的秘密种子。测试表明当QR码的图像展示给用户时做出的请求包含LastPass验证时使用的登录哈希。事实上，这个双因素验证秘密种子衍生自用户密码，而这种做法完全击败了双因素验证保护措施的整个目的，因为攻击者很可能已经获得了密码。

虽然判断出QR码的URL并不难，但黑客需要得到验证才能发动攻击。而利用一个跨站点请求伪造漏洞就能解决这个问题。让已登录用户点击一条特别编制的链接利用此类缺陷就能让攻击者获得QR码图像。Vigo表示，攻击者还能够利用流行网站上的跨站点脚本漏洞避免受害者访问恶意站点以免引起怀疑。他还发现通过跨站点请求伪造漏洞禁用双因素验证的简单方法。跟所有跨站点请求伪造漏洞攻击方法一样，黑客需要让受害者访问恶意网站。

LastPass在2月7日收到漏洞报告并立即着手推出补丁，解决了这个跨站点请求伪造漏洞，为QR码请求来源的检查添加了安全价值，并未秘密种子删除了密码哈希的使用。

LastPass在周四的一篇博文中通知用户无需采取任何措施，修复方案已部署到服务器端。该公司还指出利用这些漏洞要求结合多种因素，因此攻击并不容易实施。首先，攻击者必须诱骗用户点击恶意网站；其次用户必须在登录恶意网站的时候登录到LastPass网站。

Vigo是在谷歌研究员Tavis Ormandy在LastPass浏览器扩展中发现多个漏洞之后不久公布这些缺陷情况的。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。