Anuncio

Si usted es uno de los miles de usuarios de LastPass que se han sentido muy seguros usando Internet gracias a las promesas de que es casi irrompible seguridad, puede sentirse un poco menos seguro sabiendo que el 15 de junio, la compañía anunció que detectaron una intrusión en su servidores

LastPass inicialmente envió un aviso por correo electrónico a los usuarios informándoles que la compañía había detectado "sospechas actividad "en los servidores de LastPass, y las direcciones de correo electrónico de los usuarios y los recordatorios de contraseñas se han visto comprometidas.

La compañía aseguró a los usuarios que no se habían comprometido los datos cifrados de la bóveda, pero desde contraseñas de usuario hash Lo que realmente significa todo este material de hash MD5 [Explicación de la tecnología]Aquí hay un resumen completo de MD5, hashing y una pequeña descripción general de las computadoras y la criptografía. Lee mas obtenido, la compañía aconsejó a los usuarios que actualizaran sus contraseñas maestras, solo para estar seguros.

instagram viewer

El último truco explicado

Esta no es la primera vez que los usuarios de LastPass están preocupados por los hackers. El año pasado entrevistó al CEO de LastPass, Joe Siegrist Joe Siegrist de LastPass: la verdad sobre la seguridad de su contraseña Lee mas después de la amenaza Heartbleed, donde sus garantías tranquilizan los temores de los usuarios.

Esta última violación tuvo lugar a fines de la semana anterior al anuncio. En el momento en que se detectó e identificó como una intrusión de seguridad, los atacantes se habían salido con las direcciones de correo electrónico de los usuarios, las preguntas / respuestas de recordatorio de contraseña, las contraseñas hash de usuario y sales criptográficas Conviértete en un Steganographer secreto: oculta y encripta tus archivos Lee mas .

lastpass-breach1

La buena noticia es que la seguridad del sistema LastPass fue diseñada para soportar tales ataques. La única forma de acceder a sus contraseñas de texto sin formato sería que los hackers descifren contraseñas maestras bien aseguradas Use una estrategia de administración de contraseñas para simplificar su vidaMuchos de los consejos sobre las contraseñas han sido casi imposibles de seguir: use una contraseña segura que contenga números, letras y caracteres especiales; cámbielo regularmente; proponga una contraseña completamente única para cada cuenta, etc. Lee mas .

Debido al mecanismo utilizado para cifrar su contraseña maestra, se necesitarían grandes cantidades de recursos informáticos para descifrarla, recursos a los que la mayoría de los piratas informáticos de nivel pequeño o medio no tienen acceso.

lastpass-breach2

La razón por la que está tan protegido cuando usa LastPass es porque ese mecanismo que hace que la contraseña maestra sea tan difícil de obtener se llama "hashing lento" o "hashing con sal".

Cómo funciona el hashing

LastPass utiliza una de las técnicas de cifrado más seguras del mundo, llamada hashing con sal.

lastpass-breach3

La "sal" es un código que se genera utilizando una herramienta de criptografía, una especie de avanzada generador de números aleatorios Los 5 mejores generadores de contraseñas en línea para contraseñas aleatorias seguras¿Busca una manera de crear rápidamente una contraseña irrompible? Pruebe uno de estos generadores de contraseñas en línea. Lee mas creado específicamente para la seguridad, por así decirlo. Estas herramientas crean códigos completamente impredecibles cuando crea su contraseña maestra.

Lo que sucede cuando crea su cuenta es que la contraseña se "descifra" utilizando uno de estos números de "sal" generados aleatoriamente (y muy largos). Estos nunca se reutilizan: son únicos para cada usuario y cada contraseña. Finalmente, en la tabla de cuentas de usuario, encontrará solo la sal y el hash.

La versión de texto real de su contraseña maestra nunca se almacena en los servidores de LastPass, por lo que los piratas informáticos no tienen acceso a ella. Todo lo que pudieron obtener en esta intrusión son estas sales aleatorias y los hashes codificados.

Entonces, la única forma en que LastPass (o cualquiera) puede validar su contraseña es:

  1. Recupere el hash y la sal de la tabla de usuario.
  2. Use la sal en la contraseña que escribe el usuario, combinándola con la misma función hash que se utilizó cuando se generó la contraseña.
  3. El hash resultante se compara con el hash almacenado para ver si coincide.

En la actualidad, los piratas informáticos pueden generar miles de millones de hashes por segundo, entonces, ¿por qué un pirata informático no puede usar la fuerza bruta para descifrar estas contraseñas Ophcrack: una herramienta de pirateo de contraseñas para descifrar casi cualquier contraseña de WindowsHay muchas razones diferentes por las que uno desearía utilizar cualquier cantidad de herramientas para hackear contraseñas para hackear una contraseña de Windows. Lee mas ? Esta seguridad adicional es gracias al hash lento.

Por qué el hash lento te protege

En un ataque como este, es realmente la parte de hash lento de la seguridad de LastPass lo que realmente lo protege.

lastpass-breach4

LastPass hace que la función hash utilizada para verificar la contraseña (o crearla) funcione muy lentamente. Esto esencialmente pone freno a cualquier operación de alta velocidad y fuerza bruta que requiera velocidad para bombear miles de millones de posibles hashes. No importa cuánta potencia computacional La última tecnología informática que debes ver para creerEcha un vistazo a algunas de las últimas tecnologías informáticas que están preparadas para transformar el mundo de la electrónica y las PC en los próximos años. Lee mas Según el sistema del pirata informático, el proceso para romper el cifrado durará para siempre, esencialmente inutilizando los ataques de fuerza bruta.

Además de eso, LastPass no solo ejecuta el algoritmo hash una vez, sino que lo ejecuta miles de veces en su computadora y luego nuevamente en el servidor.

Así es como LastPass explicó su propio proceso a los usuarios en una entrada de blog después de este último ataque:

"Hash tanto el nombre de usuario como la contraseña maestra en la computadora del usuario con 5,000 rondas de PBKDF2-SHA256, un algoritmo de fortalecimiento de contraseña. Eso crea una clave, en la que realizamos otra ronda de hash, para generar el hash de autenticación de contraseña maestra ".

los Mesa de ayuda de LastPass tiene una publicación que describe cómo LastPass utiliza el hash lento:

LastPass ha optado por usar SHA-256, un algoritmo de hash más lento que proporciona más protección contra ataques de fuerza bruta. LastPass utiliza la función PBKDF2 implementada con SHA-256 para convertir su contraseña maestra en su clave de cifrado.

Lo que esto significa es que, a pesar de esta violación de seguridad reciente, sus contraseñas son bastante seguras, aunque su dirección de correo electrónico no lo sea.

¿Qué pasa si mi contraseña es débil?

Hay un excelente punto mencionado en el blog de LastPass sobre las contraseñas débiles. A muchos usuarios les preocupa que no hayan inventado una contraseña lo suficientemente única y que estos piratas informáticos puedan adivinarla sin mucho esfuerzo.

También existe el riesgo remoto de que su cuenta sea una de las que los hackers están perdiendo el tiempo intentando descifrar, y siempre existe la posibilidad remota de que puedan obtener con éxito su maestro contraseña. ¿Entonces que?

lastpass-breach5

La conclusión es que todo ese esfuerzo se desperdiciaría, ya que iniciar sesión desde otro dispositivo requiere verificación por correo electrónico, su correo electrónico, antes de que se otorgue el acceso. Del blog de LastPass:

"Si el atacante intentó obtener acceso a sus datos utilizando estas credenciales para iniciar sesión en su Cuenta de LastPass, se les detendría una notificación pidiéndoles que primero verifiquen su correo electrónico habla a."

Entonces, a menos que de alguna manera puedan hackear tu cuenta de correo electrónico además de descifrando un algoritmo casi indescifrable, realmente no tiene nada de qué preocuparse.

¿Debo cambiar mi contraseña maestra?

Si desea o no cambiar su contraseña maestra realmente se reduce a lo paranoico o desafortunado que se siente. Si crees que puedes ser la única persona desafortunada que tiene su contraseña descifrada por hackers talentosos que pueden para descifrar de alguna manera la rutina de hash redondo de 100,000 de LastPass y un código de sal que es exclusivo para usted?

Por supuesto, si le preocupan tales cosas, cambie su contraseña solo para su tranquilidad. Significará que al menos su sal y hachís, en manos de los piratas informáticos, se vuelve inútil.

Sin embargo, hay expertos en seguridad que no están interesados ​​en absoluto, como el experto en seguridad Jeremi Gosney en Structure Group. quien le dijo a los periodistas:

"El valor predeterminado es 5,000 iteraciones, por lo que como mínimo estamos viendo 105,000 iteraciones. De hecho, tengo el mío configurado en 65,000 iteraciones, así que eso es un total de 165,000 iteraciones que protegen mi frase de contraseña de Diceware. Entonces no, definitivamente no estoy sudando esta violación. Ni siquiera me siento obligado a cambiar mi contraseña maestra ".

La única preocupación real que debe tener sobre esta violación de datos es que los piratas informáticos ahora tienen su dirección de correo electrónico, que podrían usar para realizar expediciones masivas de phishing para intentar y engañar a las personas para que renuncien a sus diversas contraseñas de cuenta, o tal vez puedan hacer algo tan mundano como vender todos esos correos electrónicos de usuarios a spammers en el negro mercado.

La conclusión es que el riesgo de esta intrusión de seguridad sigue siendo mínimo, gracias a la abrumadora seguridad del sistema LastPass. Pero el sentido común dice que en cualquier momento los hackers han obtenido los detalles de su cuenta, incluso protegidos a través de miles de iteraciones criptográficas avanzadas: siempre es bueno cambiar su contraseña maestra, incluso si es para su tranquilidad.

¿La infracción de seguridad de LastPass le preocupó mucho por la seguridad de LastPass, o está seguro de la seguridad de su cuenta allí? Comparta sus pensamientos y preocupaciones en la sección de comentarios a continuación.

Créditos de imagen: cerradura de seguridad penetrada a través de Shutterstock, Csehak Szabolcs a través de Shutterstock, Bastian Weltjen a través de Shutterstock, McIek a través de Shutterstock, GlebStock a través de Shutterstock, Benoit Daoust a través de Shutterstock

Ryan tiene una licenciatura en ingeniería eléctrica. Ha trabajado 13 años en ingeniería de automatización, 5 años en TI y ahora es ingeniero de aplicaciones. Ex editor jefe de MakeUseOf, ha hablado en conferencias nacionales sobre visualización de datos y ha aparecido en la televisión y radio nacionales.