Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

LastPass atacado, PlayStation Network violado: ¿Es seguro almacenar sus contraseñas en la nube?

LastPass, el administrador de contraseñas basado en la nube, ha detectado una actividad anómala en los registros de su servidor, lo que sugiere que alguien ha accedido a una base de datos que contiene direcciones de correo electrónico de usuarios, hashes de contraseñas cifradas y sal del servidor. Si es un usuario de LastPass, se verá obligado a cambiar su contraseña maestra la próxima vez que inicie sesión y, además, en caso de que los piratas informáticos hayan forzado con éxito su contraseña maestra, LastPass solo le permitirá cambiar su contraseña maestra si accede al servicio. de un bloque de dirección IP que haya utilizado antes, o si valida su dirección de correo electrónico.

Si no lo ha usado antes, LastPass es un complemento de navegador web que genera una contraseña segura diferente para cada uno de sus servicios en línea; luego, cuando regresa al sitio, LastPass llena automáticamente el formulario de inicio de sesión con sus datos. Sus contraseñas se almacenan en los servidores de LastPass para que pueda usar LastPass desde su hogar, la oficina o donde sea que se encuentre. Todo está encriptado con su contraseña maestra o frase de contraseña, que debería ser lo suficientemente larga para resistir un ataque de fuerza bruta.

El concepto de almacenar todas sus contraseñas en una única ubicación, detrás de la llave y candado, no es nuevo. Es famoso que una de las «mejores» formas de almacenar contraseñas complejas es en una hoja de papel en una caja de seguridad o caja de depósito bancaria del mundo real y, de la misma manera, hay muchas personas que guardan copias escritas de contraseñas en cajones de escritorio, cajas de zapatos , o incluso en notas adhesivas adjuntas a su monitor. ¿LastPass es realmente una opción más segura que estas soluciones del mundo real?

LastPass, como todos los servicios en línea, es susceptible a una amplia gama de ataques, desde la inyección de SQL hasta los ataques de intermediario. Hace solo un par de meses, se descubrió que LastPass era vulnerable a secuencias de comandos entre sitios (XSS), y la noticia de hoy sugiere que podría haber otra debilidad en sus defensas. La verdad es que estos repositorios en la nube de direcciones de correo electrónico y contraseñas representan el objetivo final de los piratas informáticos, los spammers y los ladrones de identidad. El acceso a la base de datos de contraseñas de LastPass valdría millones de dólares, y lo único que la protege, nos protege a nosotros, es un puñado de mecanismos de seguridad digital.

Esto no quiere decir que LastPass sea inseguro. Las tecnologías sobre las que se basa el servicio son intrínsecamente seguras y LastPass siempre se ha movido rápidamente para mantenerse al día con los inicios del arte. Sin embargo, al final del día, está enviando sus contraseñas a través de Internet y sus contraseñas se almacenan en una base de datos fuera de su control. Le guste o no, existe un riesgo intrínseco al usar cualquier servicio en línea, incluido LastPass.

En un mundo ideal, eliminaríamos al intermediario y generaríamos contraseñas complejas nosotros mismos, y las recuperaríamos de la memoria utilizando ingeniosos trucos mnemónicos. Sin embargo, en realidad, cuando nos vemos obligados a recordar contraseñas, la mayoría de nosotros optamos por algo simple o, peor aún, usamos la misma contraseña en múltiples servicios. Una buena solución es utilizar un administrador de contraseñas sin conexión como KeePass, que luego puede llevar consigo en una memoria USB, pero si roban en su casa o lo asaltan, entonces deseará usar LastPass en su lugar.

Finalmente, tenga esto en cuenta: la única diferencia entre la PlayStation Network de Sony, que fue violada de manera monumental y horrenda la semana pasada, y la bóveda de contraseñas de LastPass, es cómo se protegen contra el acceso no autorizado. Tanto LastPass como Sony tienen acceso a los mismos protocolos seguros y técnicas de cifrado, y lo único que mantiene sus datos seguros, o no, es cómo se emplean.

Leer más en el Blog de LastPass