Piratejat de LastPass: No hi ha més contrasenyes al núvol?

Ens havia encantat LastPass tant que en realitat l’havíem anomenat El millor gestor de contrasenyes. Per tant, quan història del pirat fa un temps va esclatar, estàvem en estat de xoc. Però això vol dir que tothom hauria d’escapar LastPass i fer servir alguna cosa més? Les vostres contrasenyes són segures al núvol? Podem tornar a confiar en l’empresa? Això és el que intentem esbrinar







No els deixeu robar les vostres contrasenyes | Shutterstock




No tinguis pànic

No cal dir que això és el primer que cal fer. La panificació, o pitjor, difondre informació falsa a través de qualsevol mitjà, no és la manera adequada de respondre a qualsevol crisi. Si bé és natural sentir por quan llegeixes una notícia com aquesta, has d’adonar-te que el pànic innecessari no serveix per a cap propòsit. En el seu publicació al bloc, LastPass ho han deixat clar, i cito,

En la investigació, no hem trobat cap evidència que s'hagi pres dades xifrades de la volta de l'usuari ni que s'hi hagi accedit als comptes d'usuari de LastPass.

Sí, continua sentint això

La investigació ha demostrat, però, que es van veure compromeses les adreces de correu electrònic del compte LastPass, els recordatoris de contrasenyes, el servidor per usuari i els hashes d'autenticació.

Però, què això vol dir, pregunta? Simplement indicat, significa que mentre totes les vostres contrasenyes són segures, pot ser que altres dades no siguin possibles. Per als quals, de nou, la publicació del bloc ja ha indicat alguns consells útils.




Sí, les dades dels gestors de contrasenyes s’emmagatzemen al núvol, però la informació es xifra directament a l’ordinador. I, tot i que l'arquitectura del cloud computing comporta un risc lleuger, no deixa de ser fàcil, tot i que totes les dades xifrades no s'emmagatzemen allà. Que inclouen tot les vostres contrasenyes.

Consell útil: Consulteu la nostra Guia final sobre contrasenyes per saber-ho tot sobre com crear i gestionar contrasenyes a Internet.





La prevenció sempre és millor que curar-la

Aquest vell adagi no hauria estat mai més rellevant que en aquests temps d’internet i pèrdua de privadesa. A continuació, es mostren alguns passos que heu de seguir quan es tracta del vostre compte LastPass, per assegurar-vos que no perdreu la son per aquests incidents.

Canvieu la contrasenya principal

Per canviar la contrasenya principal de LastPass, simplement feu clic a Preferències, on trobareu la secció de configuració del compte a l’esquerra. Feu clic a l'opció que us permetrà Feu clic aquí per iniciar la configuració del compte com es mostra a continuació.




Feu clic a l'opció per obrir una pestanya nova, on només heu de fer clic a Canvia la contrasenya principal botó i aneu a buscar una alternativa més nova (i més forta).




Aquest és el pas més important que hauríeu de fer un cop fet aquest incident.

Autenticació de dos factors i altres opcions de seguretat

Creiem que és una bona idea fer-ho utilitzeu Autenticació de dos factors sempre que sigui possible, i especialment en llocs on s’emmagatzemen dades confidencials. LastPass és absolutament correcte en suggerir l’ús d’aquest servei i creiem que hauria de fer-ho immediatament després de canviar la contrasenya principal. De fet, mentre hi esteu, penseu afegir el factor d'autenticació en dos passos a tots els serveis que feu servir que contenen dades sensibles.




A LastPass, trobareu Opcions multifactorials a la configuració del compte (vegeu més amunt). Aquí és on trobareu opcions per assegurar més el vostre compte LastPass. També veureu la Opció d'autenticació de quadrícula que hem escrit abans.

Restricció al país

Una altra capa de seguretat que LastPass comporta que explorin els seus usuaris és la política de restriccions del país. Un cop activat, això només permetrà que els dispositius originaris del país de residència accedeixin a les vostres dades de LastPass. Si un dispositiu de qualsevol altre país intenta accedir-hi, mostrarà un missatge d'error. Ho som Va tractar això amb molta detall i definitivament hauríeu de llegir-lo, si no ho heu fet.





Encara us preocupa?

No ho sigui Aquí no hi ha res més. LastPass ja ha actualitzat la seva seguretat i ja demana que els usuaris es verifiquin per correu electrònic, si utilitzen un dispositiu nou o una nova IP. Per verificar-ho, vam intentar això i ens vam complaure informar que aquest pas funciona igual que es va anunciar.




Els usuaris existents també se’ls demana que canviïn la seva contrasenya principal, però, fins i tot si no rebeu aquesta informació, us demanem que ho feu de totes maneres. Per últim, volem citar Jeremi Gosney (un expert en seguretat de contrasenyes a Grup Stricture) que va parlar amb Ars Technica sobre el pirateig.

En un NVIDIA GTX Titan X, que actualment és la GPU més ràpida per cracking de contrasenyes, un atacant només seria capaç de fer menys de 10.000 suposicions per segon per a un hash de contrasenya única. Això és correcte lent! Fins i tot les contrasenyes febles són prou segures amb aquest nivell de protecció (tret que utilitzeu una contrasenya absurdament dèbil.) I això ni tan sols té en compte el nombre d’iteracions del client, que es pot configurar per l’usuari. El valor per defecte és de 5.000 iteracions, de manera que, com a mínim, mirem 105.000 iteracions. En realitat, he tingut una configuració de 65.000 iteracions, de manera que hi ha un total de 165.000 iteracions que protegeixen la meva paraula de pas de Diceware. Així que no, definitivament no suo aquesta violació. Ni tan sols em sento obligat a canviar la meva contrasenya principal.

De fet, bastants membres del nostre equip utilitzen l’eina i hem fet exactament les mateixes coses que hem dit anteriorment. I ara volem difondre el coneixement a tantes persones com sigui possible.





Voleu provar alternatives?

Està bé, si sentiu que heu perdut la fe en LastPass per tot això, per descomptat, sempre hi ha alternatives. Si esteu disposats a invertir una mica de diners (i una mica d’això va perdre la fe), sempre hi haurà 1 Paraula clau. Són les mateixes mesures d’arquitectura i seguretat en joc, però Agilebits, la companyia de 1Password, té un historial millor que LastPass. Amb això, volem dir que mai no ha estat piratejat. No s'ha informat, per ser més precisos. Però.




Transferiu les vostres contrasenyes a iOS: És fàcil transferir les vostres dades de LastPass a 1Password per a iOS,un cop llegit el nostre article útil sobre ell.

Si no voleu gastar res, hi ha una alternativa gratuïta. Es diu KeepPass i també és de codi obert. I també hem escrit una guia per transferir les vostres contrasenyes de LastPass a Keepass.

Tot i que no és tan convenient com 1Password, si esteu disposats a jugar-hi, es poden afegir alguns plugins que coincideixin amb la funcionalitat del seu parell de pagament. Cal, però, una mica de paciència, així que prepareu-vos.





Els nostres 2 cèntims

És molt fàcil culpar una empresa i dir que no teníem cura amb les vostres dades. Però és tan bo com culpar als bancs quan hi ha un robatori. La gent no ha deixat de posar-hi diners i tampoc no hauria de deixar de confiar en els gestors de contrasenyes només perquè se’ls pirata.

Ni tan sols estem dient que la seguretat era escassa per part de LastPass, però és imprescindible que treguin els mitjons. No va ser la primera vegada es va detectar una amenaça al seu sistema, però ambdues vegades no es va robar / perdre res important. Van actuar amb rapidesa i rapidesa als usuaris i ja han tractat el problema de seguretat que en deriva. Amb una mica més de precaució, podeu assegurar un estat d’ànim molt més feliç. Si podeu passar tot aquest temps pensant en el vostre saldo bancari, estem segurs que també podeu estalviar algunes reflexions per a les contrasenyes que les mantinguin segures?