Horcrux es un gestor de passwords creado para la Seguridad de Usuarios paranoides
Dos investigadores de la Universidad de Virginia han desarrollado un nuevo prototipo de gestor de contraseñas que funciona de manera muy diferente de los clientes administrador de contraseñas existentes.El equipo de investigación describe su administrador de contraseñas que llamaron Horcrux como "un gestor de contraseñas para los paranoicos", debido a su seguridad y funciones centradas en la privacidad y un diseño único que se utiliza para el manejo de las contraseñas de usuario, tanto en el tránsito y en reposo.
Hay dos diferencias principales entre Horcrux y los clientes de la contraseña disponibles en la actualidad.
Horcrux inserta credenciales falsas en sus formas
El primero es cómo Horcrux inserta credenciales de usuario dentro de páginas web. gestores de contraseña regulares mediante la cumplimentación del formulario de acceso con los datos del usuario.Hannah Li y David Evans, los dos investigadores que crearon Horcrux, que este es un comportamiento peligroso porque los gestores de contraseñas insertan las credenciales de usuario dentro de una página DOM, que expone las credenciales a los scripts JS maliciosos que pueden leer las credenciales mientras que dentro de las formas, antes de su presentación.
Los dos dicen que solucionan este ataque en Horcrux insertando ficticias credenciales (falsas) en el interior de los campos de inicio de sesión. Cuando el usuario envía su forma, las credenciales falsas siguen ahí, pero Horrocrux interceptará la forma de operación (solicitud HTTP POST) presentar y reemplazar las credenciales falsas con verdadero nombre de usuario y contraseña combinado del usuario.
Los investigadores admitieron que esta idea no es nueva, ya que otros investigadores proponen la misma solución en el pasado, pero esta solución no fue adoptado por los desarrolladores de gestores de contraseña debido a la facilidad de uso y compatibilidad preocupaciones.
En esta ocasión, el equipo de investigación dice que probaron su técnica para asegurarse de que funciona sin fallos y se encontró que el 98% de los Alexa Top 1 millón de sitios que cuentan con formularios de ingreso son compatibles con sus "credenciales falsas de intercambio."
Horcrux se propaga a través de múltiples servidores de credenciales
La segunda característica que destacan de Horcrux es la comparación con otros clientes administrador de contraseñas es la forma en que almacena las credenciales de usuario.En comparación con las soluciones clásicas, Horcrux no confía en un solo almacén de contraseñas sino que se extiende credenciales de usuario a través de múltiples servidores. Esto significa que si un atacante logra obtener acceso a uno de los servidores, no va a tener acceso a todas las contraseñas del usuario, lo que limita el daño de cualquier incidente de seguridad.
Por otra parte, las credenciales almacenadas a través de estos múltiples servidores son-secreto compartido usando un cuco hash algoritmo "de una manera que asegura que un atacante no puede determinar si una contraseña es correcto", lo que limita enormemente la capacidad de un atacante para recuperar los datos de la contraseña, incluso si se las arregla para poner en peligro uno de los muchos servidores de almacenamiento de contraseña.
El nuevo administrador de contraseñas Horcrux está actualmente disponible sólo como un complemento de Firefox que puede ser compilado a partir de esta fuente abierta GitHub. La desventaja es que los usuarios tienen que alojar sus propios servidores de almacenamiento de contraseña con el fin de utilizar Horcrux, algo que muchos usuarios no pueden permitirse. No obstante, la licencia permite a las empresas que se ejecutan gestores de contraseña para tomar su diseño o código y lo utilizan para sus propias soluciones profesionales.
Fecha actualización el 2017-7-5. Fecha publicación el 2017-7-5. Categoría: software. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer