La noticia de que la seguridad de la red LastPass se ha visto comprometida es, por supuesto, un problema grave. El hecho de que la empresa que está siendo violada sea una que brinde un servicio de administración de contraseñas aumenta la seriedad en un nivel, o diez. Entonces, ¿por qué soy yo, alguien que ha construido una carrera escribiendo sobre seguridad de TI, no tirando de mi cabello al respecto? Mucho más allá del hecho de que no tengo nadie de quien tirar, la brecha de LastPass no es tan importante para algunos de nosotros como lo es para otros.
No hemos encontrado evidencia de que se hayan tomado datos de la bóveda de usuarios cifrados ni de que se haya accedido a las cuentas de usuario de LastPass, nos dice un portavoz de LastPass. Entonces, ¿de qué se trata todo este alboroto ?, se puede preguntar: ¿dónde está el riesgo? Bueno, como yo lo veo, es doble. En primer lugar, dado que las direcciones de correo electrónico y los recordatorios de contraseña asociados se han visto comprometidos, esperaría ver intentos de phishing dirigidos en forma de mensajes falsos para restablecer la contraseña maestra. Me gustaría pensar que no me enamoraría de ellos.
página beta de la búsqueda avanzada de facebook 2.2
En cuanto al segundo riesgo, las contraseñas maestras débiles estarán sujetas actualmente a intentos de craqueo por fuerza bruta, cortesía de las sales por usuario del servidor y los hashes de autenticación a los que se accede. En lo que respecta a esos intentos de craqueo, el hecho de que LastPass fortalezca esos hashes de autenticación con una sal aleatoria y arroje 100.000 rondas adicionales de PBKDF2-SHA256 del lado del servidor por si acaso hace que sea más difícil romperlos. Sin embargo, si la contraseña maestra es deficiente, aún estará abierta a ataques de fuerza bruta; Solo tomará un poco más de tiempo descifrarlo.
Por lo tanto, LastPass está forzando un cambio de contraseña maestra en la mayoría de los usuarios y solicita la verificación del correo electrónico de aquellos que inician sesión desde un nuevo dispositivo o dirección IP. Sin embargo, no cambiaré mi contraseña maestra, ni lo hice (echemos un vistazo) durante 442 días porque es aleatorio, es complejo, tiene más de 25 caracteres, no se usa en ningún otro lugar, y puedo recordarlo de memoria. Además, está respaldado por las siguientes dos palabras mágicas: autenticación multifactor.
¡Auge! En lo que a mí respecta, todo ese esfuerzo por entrar en la periferia de la red LastPass es en vano porque utilizo una contraseña maestra segura respaldada por autenticación multifactor. Incluso si mi contraseña maestra se vio comprometida de alguna manera, el atacante tendría que acceder a mi YubiKey (un token físico) para descifrar mi bóveda de contraseñas. Estas configuraciones avanzadas son de uso gratuito y han estado disponibles para los usuarios durante algún tiempo; además, no es necesario que compre una YubiKey; puede utilizar una aplicación de descarga gratuita como Google Authenticator si lo desea. ¿Por qué no utilizaría la autenticación de dos factores (2FA) en ningún sitio o servicio donde se ofrezca? ¿No en serio?
Hablando de configuraciones avanzadas, hay otra que utilizo que me brinda una capa más de confianza en que mis datos están razonablemente seguros con LastPass, y es un bloqueo de acceso geográfico. Puede establecer restricciones de país que le permitan decidir los países desde donde se puede acceder a su bóveda de contraseñas. Mantengo esto bloqueado en el Reino Unido a menos que viaje al extranjero, en cuyo caso habilito esa ubicación específica antes de partir. Ah, y tampoco permito inicios de sesión desde redes Tor. Paranoico, moi? No, simplemente es sensato restringir el acceso a esas llaves del reino. Como deberías ser tú también.
Lo que más me preocupa sobre el compromiso de LastPass no es, por extraño que parezca, el compromiso en sí mismo, sino la respuesta al mismo; y especialmente el de los medios de comunicación, tanto profesionales como sociales. Parece haber un sentimiento subyacente de placer al patear LastPass, y muchos informes de ese tipo te lo han dicho. Pero, ¿qué nos dijiste exactamente? ¿Qué ha pasado exactamente aquí? Hasta donde podemos ver, no se ha comprometido ningún dato de contraseña cifrado, y LastPass ha sido bastante transparente al revelar el evento y tomar medidas para asegurar aún más la confianza del usuario.
¿Qué quieren los detractores de los medios que hagamos? ¿Revertir a lápiz y papel, o tal vez una solución más técnica de cifrarlo usted mismo? He visto ambas sugerencias y ninguna de las dos reduce el riesgo para el ciudadano medio, sino todo lo contrario. ¿Quizás cambiar a otro proveedor de administración de contraseñas? Una vez más, ¿cómo ayuda eso cuando no sabe cómo responderían cuando, no si, sufren una infracción? Al menos sabes que LastPass está en la bola cuando se trata de respuesta de incumplimiento.
Para mí, un administrador de contraseñas sigue siendo la opción más segura para la mayoría de las personas, y si sigue mi ejemplo y combina una contraseña maestra segura con autenticación multifactor y algunas opciones de bloqueo de inicio de sesión, reduce el riesgo de compromiso tanto como sea humanamente posible.
Y por eso, querido lector, no necesito cambiar mi contraseña maestra; o mi administrador de contraseñas para el caso.
