LastPass pirateado: esto es lo que debe hacer
Miscelánea / / February 12, 2022
Nos había gustado tanto LastPass que en realidad lo habíamos llamado El mejor administrador de contraseñas. Entonces, cuando el historia del hackeo estalló hace un tiempo, todos estábamos en estado de shock. Pero, ¿eso significa que todos deberían deshacerse de LastPass y usar algo más? ¿Tus contraseñas están seguras en la nube? ¿Podemos volver a confiar en la empresa? Eso es lo que estamos tratando de averiguar.
no te asustes
No hace falta decir que esto es lo primero que hay que hacer. Entrar en pánico, o peor aún, difundir información falsa a través de cualquier medio, no es la forma correcta de responder a ninguna crisis. Si bien es natural sentirse asustado cuando lee una noticia como esta, debe darse cuenta de que el pánico innecesario simplemente no sirve para nada. en su entrada en el blog, LastPass lo ha dejado claro, y cito,
En nuestra investigación, no hemos encontrado pruebas de que se hayan tomado datos cifrados de la bóveda del usuario, ni de que se haya accedido a las cuentas de usuario de LastPass.
Sí, sigue diciendo que
La investigación ha demostrado, sin embargo, que las direcciones de correo electrónico de la cuenta de LastPass, los recordatorios de contraseña, las sales del servidor por usuario y los hash de autenticación se vieron comprometidos.
Pero, qué ¿Esto significa, te preguntarás? En pocas palabras, significa que si bien todas sus contraseñas son seguras, es posible que otra información no lo sea. Para lo cual, nuevamente, la publicación del blog ya ha indicado algunos consejos útiles.
Sí, los datos de los administradores de contraseñas se almacenan en la nube, pero la información se cifra directamente en su computadora. Y aunque la arquitectura de computación en la nube implica un ligero riesgo, aún puede estar tranquilo sabiendo que todos los datos cifrados nunca se almacenan allí. Que incluye todo tus contraseñas
Consejo útil: Echa un vistazo a nuestro Guía definitiva sobre contraseñas para saber todo sobre la creación y gestión de contraseñas en Internet.
Siempre es mejor prevenir que curar
Este viejo adagio nunca podría ser más relevante que en estos tiempos de espionaje en Internet y pérdida de privacidad. Aquí hay algunos pasos que debe seguir cuando se trata de su cuenta de LastPass, para asegurarse de no perder el sueño por tales incidentes.
Cambiar la contraseña maestra
Para cambiar la contraseña maestra de LastPass, simplemente haga clic en preferencias, donde encontrarás la sección Configuración de la cuenta a la izquierda. Al hacer clic en eso, tendrá la opción de Haga clic aquí para iniciar la configuración de la cuenta Como se muestra abajo.
Al hacer clic en eso, se abrirá una nueva pestaña, donde todo lo que necesita hacer es presionar el Cambiar contraseña maestra botón e ir a por una alternativa más nueva (y más fuerte).
¡Eso es todo, el paso más importante que debe hacer después de que termine este incidente!
Autenticación de 2 factores y otras opciones de seguridad
Creemos que es una buena idea usar autenticación de 2 factores siempre que sea posible, y especialmente en lugares donde se almacenen datos confidenciales. LastPass tiene toda la razón al sugerir el uso de este servicio y creemos que debe hacerlo de inmediato, después de cambiar su contraseña maestra. De hecho, mientras lo hace, considere agregar el Factor de autenticación de 2 pasos a todos los servicios que utiliza que contienen datos confidenciales.
En LastPass, encontrará Opciones multifactoriales en Configuración de la cuenta (ver arriba). Aquí es donde encontrará opciones para proteger aún más su cuenta de LastPass. También verás el Opción de autenticación de red que hemos escrito antes.
Restricción basada en el país
Otra capa de seguridad que LastPass obliga a sus usuarios a explorar es la política de restricción basada en el país. Una vez habilitado, esto permitirá que solo los dispositivos que se originen en el país de su residencia accedan a sus datos de LastPass. Si un dispositivo de cualquier otro país intenta acceder, mostrará un mensaje de error. hemos cubrió esto con mucho detalle y definitivamente deberías leerlo, si aún no lo has hecho.
¿Todavía preocupado?
no seas No hay nada más que hacer aquí. LastPass ya ha actualizado su seguridad y ya está solicitando a los usuarios que se verifiquen por correo electrónico, si están usando un nuevo dispositivo o una nueva IP. Para verificar esto, lo intentamos y nos complació informar que este paso funciona tal como se anuncia.
También se solicita a los usuarios existentes que cambien su contraseña maestra, pero incluso si no recibe ese mensaje, le instamos a que lo haga de todos modos. Por último, nos gustaría citar a Jeremi Gosney (un experto en seguridad de contraseñas en Grupo de estenosis) que habló con Ars Technica sobre el hackeo:
En una NVIDIA GTX Titan X, que actualmente es la GPU más rápida para descifrar contraseñas, un atacante solo podría realizar menos de 10 000 intentos por segundo para un solo hash de contraseña. ¡Eso es muy lento! Incluso las contraseñas débiles son bastante seguras con ese nivel de protección (a menos que esté usando una contraseña absurdamente débil). contraseña.) Y esto ni siquiera tiene en cuenta el número de iteraciones del lado del cliente, que es configurable por el usuario. El valor predeterminado es 5000 iteraciones, por lo que, como mínimo, buscamos 105 000 iteraciones. De hecho, tengo el mío configurado para 65 000 iteraciones, por lo que es un total de 165 000 iteraciones que protegen mi frase de contraseña de Diceware. Así que no, definitivamente no estoy sudando esta brecha. Ni siquiera me siento obligado a cambiar mi contraseña maestra.
De hecho, bastantes miembros de nuestro propio equipo usan la herramienta y hemos hecho exactamente lo mismo que hemos dicho anteriormente. Y ahora deseamos difundir el conocimiento a tantas personas como sea posible.
¿Quieres probar alternativas?
De acuerdo, si sientes que has perdido la fe en LastPass por todo esto, entonces, por supuesto, siempre hay alternativas. Si está dispuesto a invertir un poco de dinero (y algo de esa fe perdida), entonces siempre hay 1 Contraseña. Es la misma arquitectura y medidas de seguridad en juego, pero Agilebits, la compañía detrás de 1Password, tiene un mejor historial que LastPass. Con eso, queremos decir que nunca ha sido pirateado. No se ha informado, para ser más precisos. Aún.
Transfiera sus contraseñas en iOS: Es fácil transferir sus datos de LastPass a 1Password para iOS, una vez que lea nuestro útil artículo al respecto.
Si no está dispuesto a gastar nada, entonces hay una alternativa gratuita. Se llama KeepPass y también es de código abierto. Y también hemos escrito una guía para transferir sus contraseñas de LastPass a Keepass.
Aunque no es tan conveniente como 1Password, si está dispuesto a jugar, se pueden agregar algunos complementos para que coincidan con la funcionalidad de su par pagado. Sin embargo, se necesita algo de paciencia, así que prepárate.
Nuestros 2 centavos
Es muy fácil culpar a una empresa y decir que no tuvo cuidado con sus datos. Pero eso es tan bueno como culpar a los bancos cuando hay un robo. La gente no ha dejado de poner su dinero allí y tampoco debes dejar de confiar en los administradores de contraseñas, solo porque uno fue pirateado.
Ni siquiera estamos diciendo que la seguridad fue laxa por parte de LastPass, pero definitivamente necesitan subirse los calcetines. No era la primera vez que un Se detectó una amenaza en su sistema., pero en ambas ocasiones no se robó/perdió nada importante. Actuaron rápidamente y notificaron de inmediato a los usuarios y ya se han ocupado del problema de seguridad que condujo a esto. Con un poco más de precaución usted mismo, puede asegurarse un estado de ánimo mucho más feliz. Si puede pasar todo ese tiempo pensando en su saldo bancario, estamos seguros de que también puede dedicar algunos pensamientos a las contraseñas que los mantienen seguros.