Pagina principal Seguridad LastPass es violado ¿Necesita cambiar su contraseña maestra?

LastPass es violado ¿Necesita cambiar su contraseña maestra?

  • Edmund Richardson
  • 0
  • 5059
  • 1461
Anuncio

Si usted es uno de los miles de usuarios de LastPass que se han sentido muy seguros usando Internet gracias a las promesas de seguridad casi inquebrantable, puede sentirse un poco menos seguro sabiendo que el 15 de junio, la compañía anunció que detectaron una intrusión en sus servidores.

LastPass inicialmente envió un aviso por correo electrónico a los usuarios informándoles que la compañía había detectado “actividades sospechosas” en los servidores de LastPass, y que las direcciones de correo electrónico de los usuarios y los recordatorios de contraseñas se vieron comprometidas.

La compañía aseguró a los usuarios que no se había comprometido ningún dato cifrado de la bóveda, pero desde las contraseñas de usuario hash Lo que todo este MD5 Hash Stuff realmente significa [Tecnología explicada] Lo que todo este MD5 Hash Stuff realmente significa [Tecnología explicada] Aquí hay un resumen completo de MD5, hashing y una pequeña descripción general de computadoras y criptografía. obtenido, la compañía aconsejó a los usuarios que actualizaran sus contraseñas maestras, solo para estar seguros.

El último truco explicado

Esta no es la primera vez que los usuarios de LastPass están preocupados por los hackers. El año pasado, entrevistamos al CEO de LastPass, Joe Siegrist Joe Siegrist de LastPass: La verdad sobre la seguridad de su contraseña Joe Siegrist de LastPass: La verdad sobre la seguridad de su contraseña después de la amenaza Heartbleed, donde sus garantías tranquilizan los temores de los usuarios.

Esta última violación tuvo lugar a fines de la semana anterior al anuncio. En el momento en que se detectó e identificó como una intrusión de seguridad, los atacantes se habían salido con las direcciones de correo electrónico de los usuarios, las preguntas / respuestas de recordatorio de contraseña, las contraseñas hash de usuario y las sales criptográficas. Ocultar y cifrar sus archivos .

La buena noticia es que la seguridad del sistema LastPass fue diseñada para soportar tales ataques. La única forma de acceder a sus contraseñas de texto sin formato sería que los piratas informáticos descifren las contraseñas maestras bien protegidas. Utilice una estrategia de gestión de contraseñas para simplificar su vida. Utilice una estrategia de gestión de contraseñas para simplificar su vida. imposible de seguir: use una contraseña segura que contenga números, letras y caracteres especiales; cámbielo regularmente; proponga una contraseña completamente única para cada cuenta, etc. .

Debido al mecanismo utilizado para cifrar su contraseña maestra, se necesitaría una gran cantidad de recursos informáticos para descifrarla, recursos a los que la mayoría de los hackers pequeños o de nivel medio no tienen acceso.

La razón por la que está tan protegido cuando usa LastPass es porque ese mecanismo que hace que la contraseña maestra sea tan difícil de obtener se llama “hashing lento” o “picadillo con sal.”

Cómo funciona el hashing

LastPass utiliza una de las técnicas de cifrado más seguras del mundo, llamada hashing con sal.

los “sal” es un código que se genera utilizando una herramienta de criptografía, una especie de generador avanzado de números aleatorios Los 5 mejores generadores de contraseñas en línea para contraseñas aleatorias seguras Los 5 mejores generadores de contraseñas en línea para contraseñas aleatorias seguras ¿Busca una manera de crear rápidamente una contraseña irrompible? Pruebe uno de estos generadores de contraseñas en línea. creado específicamente para la seguridad, por así decirlo. Estas herramientas crean códigos completamente impredecibles cuando crea su contraseña maestra.

Lo que sucede cuando crea su cuenta es que la contraseña es “hash” usando uno de estos generados aleatoriamente (y muy largos) “sal” números. Estos nunca se reutilizan: son únicos para cada usuario y cada contraseña. Finalmente, en la tabla de cuentas de usuario, encontrará solo la sal y el hash.

La versión de texto real de su contraseña maestra nunca se almacena en los servidores de LastPass, por lo que los hackers no tienen acceso a ella. Todo lo que pudieron obtener en esta intrusión son estas sales aleatorias y los hashes codificados.

Entonces, la única forma en que LastPass (o cualquiera) puede validar su contraseña es:

  1. Recupere el hash y la sal de la tabla de usuario.
  2. Use la sal en la contraseña que escribe el usuario, combinándola con la misma función hash que se utilizó cuando se generó la contraseña.
  3. El hash resultante se compara con el hash almacenado para ver si coincide.

En la actualidad, los piratas informáticos pueden generar miles de millones de hashes por segundo, entonces, ¿por qué un pirata informático no puede usar la fuerza bruta para descifrar estas contraseñas? Ophcrack: una herramienta de pirateo de contraseñas para descifrar casi cualquier contraseña de Windows Ophcrack: una herramienta de pirateo de contraseñas para descifrar Casi cualquier contraseña de Windows Hay muchas razones diferentes por las que uno desearía utilizar cualquier cantidad de herramientas de hackeo de contraseña para hackear una contraseña de Windows. ? Esta seguridad adicional es gracias al hash lento.

¿Por qué el Hashing lento te protege?

En un ataque como este, es realmente la parte de hash lento de la seguridad de LastPass lo que realmente lo protege.

LastPass hace que la función hash utilizada para verificar la contraseña (o crearla) funcione muy lentamente. Esto esencialmente pone freno a cualquier operación de alta velocidad y fuerza bruta que requiera velocidad para bombear miles de millones de posibles hashes. No importa cuánta potencia computacional La última tecnología informática tiene que ver para creer La última tecnología informática tiene que ver para creer Vea algunas de las últimas tecnologías informáticas que están preparadas para transformar el mundo de la electrónica y las PC en los próximos años. . Según el sistema del hacker, el proceso para romper el cifrado todavía durará para siempre, esencialmente inutilizando los ataques de fuerza bruta.

Además de eso, LastPass no solo ejecuta el algoritmo hash una vez, sino que lo ejecuta miles de veces en su computadora y luego nuevamente en el servidor.

Así es como LastPass explicó su propio proceso a los usuarios en una publicación de blog después de este último ataque:

“Hash tanto el nombre de usuario como la contraseña maestra en la computadora del usuario con 5,000 rondas de PBKDF2-SHA256, un algoritmo de fortalecimiento de contraseña. Eso crea una clave, en la que realizamos otra ronda de hash, para generar el hash de autenticación de contraseña maestra.”

El servicio de asistencia de LastPass tiene una publicación que describe cómo LastPass utiliza el hash lento:

LastPass ha optado por usar SHA-256, un algoritmo de hash más lento que proporciona más protección contra ataques de fuerza bruta. LastPass utiliza la función PBKDF2 implementada con SHA-256 para convertir su contraseña maestra en su clave de cifrado.

Lo que esto significa es que a pesar de esta violación de seguridad reciente, sus contraseñas son bastante seguras, aunque su dirección de correo electrónico no lo sea..

¿Qué pasa si mi contraseña es débil??

Hay un excelente punto mencionado en el blog de LastPass sobre las contraseñas débiles. A muchos usuarios les preocupa que no hayan inventado una contraseña lo suficientemente única y que estos piratas informáticos puedan adivinarla sin mucho esfuerzo.

También existe el riesgo remoto de que su cuenta sea una de las que los piratas informáticos están perdiendo el tiempo tratando de descifrar, y siempre existe la posibilidad remota de que puedan obtener con éxito su contraseña maestra. Entonces que?

La conclusión es que todo ese esfuerzo se desperdiciaría, ya que iniciar sesión desde otro dispositivo requiere verificación por correo electrónico, su correo electrónico, antes de que se otorgue el acceso. Del blog LastPass:

“Si el atacante intentó obtener acceso a sus datos mediante el uso de estas credenciales para iniciar sesión en su cuenta de LastPass, una notificación le solicitará que primero verifique su dirección de correo electrónico..”

Entonces, a menos que de alguna manera puedan hackear tu cuenta de correo electrónico además de descifrando un algoritmo casi indescifrable, realmente no tienes nada de qué preocuparte.

¿Debo cambiar mi contraseña maestra??

Si desea o no cambiar su contraseña maestra realmente se reduce a lo paranoico o desafortunado que se siente. Si crees que puedes ser la única persona desafortunada que tiene su contraseña descifrada por hackers talentosos que pueden descifrar de alguna manera la rutina de hashing redondo de 100,000 de LastPass y un código de sal que es exclusivo para ti?

Por supuesto, si le preocupan tales cosas, cambie su contraseña solo para su tranquilidad. Significará que al menos tu sal y hash, en manos de los hackers, se vuelven inútiles.

Sin embargo, hay expertos en seguridad que no están en absoluto preocupados, como el experto en seguridad Jeremi Gosney en Structure Group, quien dijo a los periodistas:

“El valor predeterminado es 5,000 iteraciones, por lo que como mínimo estamos viendo 105,000 iteraciones. De hecho, tengo el mío configurado en 65,000 iteraciones, así que eso es un total de 165,000 iteraciones que protegen mi frase de contraseña de Diceware. Así que no, definitivamente no estoy sudando esta violación. Ni siquiera me siento obligado a cambiar mi contraseña maestra.”

La única preocupación real que debe tener sobre esta violación de datos es que los piratas informáticos ahora tienen su dirección de correo electrónico, que podrían usar para realizar expediciones masivas de phishing para tratar de engañar a las personas para que renuncien a sus diversas contraseñas de cuenta, o tal vez puedan hacer algo tan mundano como vender todos esos correos electrónicos de usuarios a spammers en el mercado negro.

La conclusión es que el riesgo de esta intrusión de seguridad sigue siendo mínimo, gracias a la abrumadora seguridad del sistema LastPass. Pero el sentido común dice que cada vez que los piratas informáticos obtienen los detalles de su cuenta, incluso protegidos a través de miles de iteraciones criptográficas avanzadas, siempre es bueno cambiar su contraseña maestra, incluso si es para su tranquilidad..

¿La violación de seguridad de LastPass le preocupa mucho la seguridad de LastPass, o está seguro de la seguridad de su cuenta allí? Comparta sus pensamientos y preocupaciones en la sección de comentarios a continuación..

Créditos de imagen: bloqueo de seguridad penetrado a través de Shutterstock, Csehak Szabolcs a través de Shutterstock, Bastian Weltjen a través de Shutterstock, McIek a través de Shutterstock, GlebStock a través de Shutterstock, Benoit Daoust a través de Shutterstock




Nadie ha comentado sobre este artículo todavía.

Esta aplicación de lista de tareas pendientes basada en viñetas es la forma más sencilla, rápida y fácil de tomar notas
Productividad
5 configuraciones de documentos de Excel que nunca debe olvidar comprobar
Productividad
Cómo usar Evernote para mantenerse productivo en el camino
Productividad
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.