LastPass está violado ¿Necesita cambiar su contraseña maestra?
Si usted es uno de los miles de usuarios de LastPass que se han sentido muy seguros al utilizar Internet gracias a las promesas de seguridad casi irrompibles, puede sentirse un poco menos seguro al saber que el 15 de junio, la compañía anunció que detectó una intrusión en sus servidores.
LastPass inicialmente envió un aviso por correo electrónico a los usuarios informándoles que la compañía había detectado “actividades sospechosas” en los servidores LastPass, y que las direcciones de correo electrónico y los recordatorios de contraseña de los usuarios se habían comprometido.
La compañía aseguró a los usuarios que no se habían comprometido los datos cifrados de la bóveda, pero dado que las contraseñas de usuario con hash Lo que todo esto significa en realidad el Hash de MD5 significa [Tecnología explicada] Lo que todo el Hash sobre MD5 en realidad significa [Tecnología Explicada] Aquí hay una lista completa de MD5, hash y una pequeña descripción de las computadoras y la criptografía. Se había obtenido más información, la compañía aconsejaba a los usuarios actualizar sus contraseñas maestras, solo para estar seguros.
El LastPass Hack Explicado
Esta no es la primera vez que los usuarios de LastPass se preocupan por los hackers. El año pasado, entrevistamos al CEO de LastPass Joe Siegrist Joe Siegrist de LastPass: La verdad sobre la seguridad de su contraseña Joe Siegrist de LastPass: La verdad sobre la seguridad de su contraseña Lea más siguiendo la amenaza de Heartbleed, donde sus seguridades hacen que los temores de los usuarios se relajen..
Esta última violación tuvo lugar a finales de la semana anterior al anuncio. En el momento en que se detectó e identificó como una intrusión de seguridad, los atacantes se habían salido con las direcciones de correo electrónico del usuario, las preguntas / respuestas de recordatorio de contraseña, las contraseñas de usuario y las sales criptográficas. Conviértase en un esteganógrafo secreto: oculte y cifre sus archivos Conviértase en un esteganógrafo secreto: Ocultar y cifrar sus archivos Leer más .
La buena noticia es que la seguridad del sistema LastPass fue diseñada para resistir tales ataques. La única forma de acceder a sus contraseñas de texto sin formato sería que los piratas informáticos descifren las contraseñas maestras bien protegidas. Use una estrategia de administración de contraseñas para simplificar su vida. Use una estrategia de administración de contraseñas para simplificar su vida. -posible seguir: use una contraseña segura que contenga números, letras y caracteres especiales; cambiarlo regularmente cree una contraseña completamente única para cada cuenta, etc.… Lea más .
Debido al mecanismo utilizado para cifrar su contraseña maestra, se necesitarían grandes cantidades de recursos informáticos para descifrarla, recursos a los que la mayoría de los piratas informáticos pequeños o de nivel medio no tienen acceso..
La razón por la que está tan protegido cuando usa LastPass es porque se llama a ese mecanismo que hace que la contraseña maestra sea tan difícil de obtener “hash lento” o “picadillo con sal.”
Cómo funciona el hash
LastPass utiliza una de las técnicas de cifrado más seguras del mundo, llamada hashing con sal.
los “sal” es un código que se genera mediante una herramienta de criptografía: una especie de generador de números aleatorios avanzados 5 Generadores de contraseñas gratuitas para contraseñas casi ilegibles 5 Generadores de contraseñas gratuitas para contraseñas casi ilegibles Leer más, creado específicamente para la seguridad, por favor. Estas herramientas crean códigos completamente impredecibles cuando creas tu contraseña maestra.
Lo que pasa cuando creas tu cuenta es que la contraseña es “hash” utilizando uno de estos generados aleatoriamente (y muy largo) “sal” números. Estos nunca se reutilizan, son únicos para cada usuario y cada contraseña. Finalmente, en la tabla de cuentas de usuario, encontrará solo el salt y el hash.
La versión de texto real de su contraseña maestra nunca se almacena en los servidores de LastPass, por lo que los hackers no tienen acceso a ella. Todo lo que pudieron obtener en esta intrusión son estas sales aleatorias, y los hashes codificados.
Entonces, la única manera en que LastPass (o cualquiera) puede validar su contraseña es:
- Recupera el hash y el salt de la tabla de usuario.
- Use la sal en la contraseña que el usuario ingresa, y córtela usando la misma función hash que usó cuando se generó la contraseña.
- El hash resultante se compara con el hash almacenado para ver si es una coincidencia.
En estos días, los piratas informáticos pueden generar miles de millones de hashes por segundo, así que ¿por qué no puede un pirata informático usar la fuerza bruta para descifrar estas contraseñas? Ophcrack - Una herramienta de hackeo de contraseñas para romper casi cualquier contraseña de Windows Ophcrack - Una herramienta de hackear contraseñas de crack Casi cualquier contraseña de Windows Hay muchas razones diferentes por las que uno desearía usar cualquier número de herramientas de pirateo de contraseña para piratear una contraseña de Windows. Lee mas ? Esta seguridad adicional es gracias al hash lento..
¿Por qué te protege el hash lento?
En un ataque como este, es realmente la parte de hash lento de la seguridad de LastPass lo que realmente lo protege..
LastPass hace que la función hash utilizada para verificar la contraseña (o crearla) funcione muy lentamente. Esencialmente, esto pone las rupturas en cualquier operación de alta velocidad y fuerza bruta que requiere velocidad para bombear a través de miles de millones de posibles hashes. No importa cuánto poder de cómputo La última tecnología informática que tienes que ver para creer La última tecnología informática que tienes que ver para creer Descubre algunas de las últimas tecnologías informáticas que están configuradas para transformar el mundo de la electrónica y las PC en los próximos años . Más información que tiene el sistema del pirata informático, el proceso para romper el cifrado seguirá demorándose para siempre, esencialmente inutilizando los ataques de fuerza bruta.
Además de eso, LastPass no solo ejecuta el algoritmo hash una vez, lo ejecuta miles de veces en su computadora y luego nuevamente en el servidor..
Aquí es cómo LastPass explicó su propio proceso a los usuarios en una publicación de blog después de este último ataque:
“El hash, tanto el nombre de usuario como la contraseña maestra en la computadora del usuario con 5,000 rondas de PBKDF2-SHA256, un algoritmo de fortalecimiento de contraseña. Eso crea una clave, en la que realizamos otra ronda de hash, para generar el hash de autenticación de contraseña maestra.”
El servicio de asistencia de LastPass tiene una publicación que describe cómo LastPass utiliza el hashing lento:
LastPass ha optado por utilizar SHA-256, un algoritmo de hashing más lento que brinda más protección contra los ataques de fuerza bruta. LastPass utiliza la función PBKDF2 implementada con SHA-256 para convertir su contraseña maestra en su clave de cifrado.
Lo que esto significa es que, a pesar de esta reciente violación de la seguridad, sus contraseñas son bastante seguras, a pesar de que su dirección de correo electrónico no lo es..
¿Qué pasa si mi contraseña es débil??
Hay un punto excelente mencionado en el blog LastPass sobre las contraseñas débiles. A muchos usuarios les preocupa que no hayan creado una contraseña lo suficientemente única y que estos hackers puedan adivinarla sin mucho esfuerzo..
También existe el riesgo remoto de que su cuenta sea una de las que los piratas informáticos están perdiendo el tiempo intentando descifrar, y siempre existe la posibilidad remota de que puedan obtener su contraseña maestra con éxito. Entonces que?
La conclusión es que se perdería todo ese esfuerzo, ya que el inicio de sesión desde otro dispositivo requiere verificación por correo electrónico (su correo electrónico) antes de otorgar el acceso. Desde el blog de LastPass:
“Si el atacante intentara obtener acceso a sus datos utilizando estas credenciales para iniciar sesión en su cuenta de LastPass, se lo interrumpiría una notificación pidiéndoles que primero verifiquen su dirección de correo electrónico..”
Entonces, a menos que puedan de alguna manera hackear su cuenta de correo electrónico además de descifrando un algoritmo casi imposible de descifrar, realmente no tiene nada de qué preocuparse.
¿Debo cambiar mi contraseña maestra??
Si desea cambiar su contraseña maestra o no, realmente se reduce a lo paranoico o desafortunado que se siente. Si crees que puedes ser la única persona desafortunada que ha robado su contraseña por hackers talentosos que de alguna manera pueden descifrar la rutina de hashing de 100,000 pases de LastPass y un código de sal único para ti.?
De todos modos, si se preocupa por esas cosas, cambie su contraseña solo para su tranquilidad. Significará que al menos su sal y hachís, en manos de hackers, se vuelven inútiles..
Sin embargo, hay expertos en seguridad que no están preocupados en absoluto, como el experto en seguridad Jeremi Gosney en Structure Group, que dijo a los periodistas:
“El valor predeterminado es 5.000 iteraciones, por lo que como mínimo estamos viendo 105.000 iteraciones. De hecho, tengo el mío configurado para 65,000 iteraciones, por lo que es un total de 165,000 iteraciones que protegen mi frase de contraseña Diceware. Así que no, definitivamente no estoy sudando esta brecha. Ni siquiera me siento obligado a cambiar mi contraseña maestra.”
La única preocupación real que debe tener acerca de esta violación de datos es que los piratas informáticos ahora tienen su dirección de correo electrónico, que podrían usar para realizar expediciones de phishing masivo para intentar engañar a las personas para que entreguen sus distintas contraseñas de cuentas, o tal vez puedan hacer algo tan mundano. como vender todos esos correos electrónicos de usuarios a los spammers en el mercado negro.
La conclusión es que el riesgo de esta intrusión de seguridad sigue siendo mínimo, gracias a la abrumadora seguridad del sistema LastPass. Pero el sentido común dice que cada vez que los piratas informáticos han obtenido los detalles de su cuenta, incluso protegidos a través de miles de iteraciones criptográficas avanzadas, siempre es bueno cambiar su contraseña maestra, incluso si es para tranquilidad..
¿La brecha de seguridad de LastPass le preocupó mucho sobre la seguridad de LastPass, o está seguro de la seguridad de su cuenta allí? Comparte tus pensamientos y preocupaciones en la sección de comentarios a continuación.
Créditos de la imagen: bloqueo de seguridad penetrado a través de Shutterstock, Csehak Szabolcs a través de Shutterstock, Bastian Weltjen a través de Shutterstock, McIek a través de Shutterstock, GlebStock a través de Shutterstock, Benoit Daoust a través de Shutterstock
Obtenga más información sobre: LastPass, Seguridad en línea, Administrador de contraseñas.