Ataque contra LastPass

El popular gestor de contraseñas LastPass recomendó cambiar las contraseñas maestras de sus usuarios ya que descubrió una actividad sospechosa en sus servidores el pasado viernes.

En un comunicado de su blog, dijeron que no existe evidencia de que los hackers les robaron información pero si que la lista de usuarios estaba comprometida. Aunque se mostraron confiados en que sus medidas de seguridad incorporadas previamente funcionaron satisfactoriamente.

También informaron que comunicaran por mail y pedirán verificación cuando las cuentas se inicie en un nuevo dispositivo o en una nueva IP.

lastpass-alert

El peligro de guardar todo en un solo lugar, no soy usuario habitual de este tipo de servicios. Tan solo lo intente una vez y fracase no soy de dar mi contraseña principal a un servicio que aloja todo en Internet, el tener todas tus claves en un único lugar es muy útil, pero también un peligro, si alguien adivina la contraseña maestra, estas jodido. Y como se demuestra en estos casos, por muchos que te protejas en tu lado, siempre puede haber otra vulnerabilidad donde tu ya no alcanzas a controlar.

Si bien la contraseñas almacenadas dentro de tu cuenta no han sido comprometidas, si que han podido obtener el hash de autenticación para el acceso a la misma. Que quiere decir esto? según la empresa tu cuenta no esta en peligro.

LastPass refuerza el hash de autentificación con un salt aleatorio y con 100.000 rondas de PBKDF2-SHA256 en el lado del servidor, además de las rondas que tienen lugar en el lado del cliente. Este refuerzo adicional hace que sea muy difícil atacar los hashes robados con una velocidad significativa

Por eso, y a modo de precaución, tienes que cambiar tu contraseña maestra cuanto antes.

Advertisements

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.