Opinión de un experto: no inquietarse demasiado por la violación en LastPass
25 June, 2015
category:
Los usuarios de LastPass y la comunidad de seguridad se estremecieron la semana pasada al leer las noticias de que el administrador de contraseñas en línea había sufrido una violación de datos que expuso las contraseñas maestras encriptadas de los usuarios. Pero por lo menos un experto en craqueo de contraseñas dice que esa violación no es motivo para que los usuarios se preocupen mucho, en especial se escogieron una contraseña maestra fuerte. “Las soluciones de gestión de contraseñas, como esta, son diseñadas específicamente para resistir violaciones como esta. Están diseñados para ser seguros con independencia de la violación”, dice Jeremi Gosney, director general de Sagitta HPC, una firma que ofrece servicios de craqueo de contraseñas.
Gosney también es cofundador de la conferencia de hackers PasswordsCon y consultante senior de ControlScan para seguridad y cumplimiento.
Al parecer los usuarios tienen la matemática de su lado. Con los fuertes algoritmos de troceado (hashing) que emplea LastPass, hasta las contraseñas moderadamente fuertes deben estar completamente seguras, afirma Gosney. Asumiendo que LastPass tiene 1 millón de usuarios, le tomaría a un craqueador de contraseñas más de 44 años tirar la lista de 14 millones de palabras RockYou – las 14 millones de contraseñas usadas con más frecuencia – contra los hashes de LastPass.
“El troceado de contraseñas o hashing está entre lo mejor que hayamos visto nunca, es realmente espectacular, sobre todo para una organización de esas dimensiones”, señala.
El 15 de junio LastPass anunció en su blog que su team de seguridad había descubierto y bloqueado “actividad sospechosa” en su red. Luego de investigar, LastPass encontró que se habían comprometido contraseñas maestras, direcciones de correo electrónico y pistas de contraseñas. No existía evidencia de que los hackers hubieran irrumpido en las bóvedas de contraseña encriptadas de los usuarios o hubieran accedido a sus cuentas.
Gosney plantea que los usuarios deberían operar bajo el supuesto de que alguien podría acceder a sus datos encriptados y por ello debían tomar las correspondientes medidas de protección.
“El criterio es que incluso si alguien logra hacerse con la información encriptada, le resulte inútil a un hacker”, señala.
A los usuarios de LastPass se les aconseja tomar las siguientes precauciones:
- Cambie su contraseña maestra: LastPass le está avisando a todos sus usuarios que hagan eso, y los usuarios que han reutilizado su contraseña maestra en otros sitios web también deben cambiar esas contraseñas. Gosney dice que los usuarios de LastPass deben pensar en aprovechar esta violación a modo de oportunidad para elevar su contraseña maestra mediante un método conocido como diceware, una aplicación que en esencia lo que hace es rodar los dados de forma virtual para escoger palabras al azar que pueden combinarse con el fin de formar una frase de seguridad de cuatro palabras.
- Desactive la opción “Permita revertir los cambios en contraseña maestra LastPass” (Allow reverting LastPass master password changes) en la configuración avanzada “Advanced Settings”. De no hacer esto, no será muy eficaz cambiar la contraseña maestra.
- Habilite la autenticación multifactor para su cuenta.
- Manténgase a la viva respecto a acciones de suplantación (phishing) ahora que los hackers tienen una lista con las direcciones de e-mail de los usuarios de LastPass, explica Gosney. No vaya a dar clic en ningún enlace de e-mail que venga de LastPass.
Gosney, que ha sido usuario también de LastPass durante largo tiempo, dice que no piensa cambiar nada después de esa violación, ni siquiera su contraseña maestra. “Tengo confianza en la fortaleza de mi contraseña maestra. Como craqueador de contraseñas, sé que es imposible craquearla”, afirma.