Lastpass pirateado: esto es lo que debes hacer

Nos gustó tanto LastPass que en realidad lo llamamos The Best Password Manager. Entonces, cuando la historia del hack estalló hace un tiempo, todos estábamos en estado de shock. Pero, ¿eso significa que todos deberían deshacerse de LastPass y usar algo más? ¿Están sus contraseñas seguras en la nube? ¿Podemos volver a confiar en la empresa? Eso es lo que estamos tratando de descubrir.

No se asuste

No hace falta decir que esto es lo primero que hay que hacer. Entrar en pánico, o peor, difundir información falsa a través de cualquier medio, simplemente no es la forma correcta de responder a cualquier crisis. Si bien es natural sentirse asustado cuando lees una noticia como esta, debes darte cuenta de que el pánico innecesario simplemente no sirve para nada. En su publicación de blog, LastPass lo ha dejado claro, y cito,

En nuestra investigación, no hemos encontrado evidencia de que se hayan tomado datos cifrados de la bóveda del usuario, ni de que se haya accedido a las cuentas de usuario de LastPass.

Sí, continúa diciendo que

Sin embargo, la investigación ha demostrado que las direcciones de correo electrónico de la cuenta LastPass, los recordatorios de contraseña, las sales del servidor por usuario y los hashes de autenticación se vieron comprometidos.

Pero, ¿qué significa esto, preguntas? En pocas palabras, significa que si bien todas sus contraseñas están seguras, es posible que otra información no lo esté. Para lo cual, nuevamente, la publicación del blog ya ha indicado algunos consejos útiles.

Sí, los datos de los administradores de contraseñas se almacenan en la nube, pero la información se cifra directamente en su computadora. Y a pesar de que la arquitectura de computación en la nube implica un pequeño riesgo, puede estar tranquilo sabiendo que todos los datos cifrados nunca se almacenan allí. Que incluyen todas tus contraseñas.

Consejo útil: Consulte nuestra Guía definitiva sobre contraseñas para saber todo acerca de cómo crear y administrar contraseñas en Internet.

Prevenir es siempre mejor que curar

Este viejo adagio nunca podría ser más relevante que en estos tiempos de espionaje en Internet y pérdida de privacidad. Estos son algunos pasos que debe seguir cuando se trata de su cuenta LastPass, para asegurarse de no perder el sueño por tales incidentes.

Cambiar la contraseña maestra

Para cambiar la contraseña maestra de LastPass, simplemente haga clic en Preferencias, donde encontrará la sección Configuración de la cuenta a la izquierda. Al hacer clic en eso, tendrá la opción de hacer clic aquí para iniciar la configuración de la cuenta como se muestra a continuación.

Al hacer clic se abrirá una nueva pestaña, donde todo lo que necesita hacer es presionar el botón Cambiar contraseña maestra y buscar una alternativa más nueva (y más fuerte).

¡Eso es todo, el paso más importante que debes hacer después de que este incidente haya terminado!

Autenticación de 2 factores y otras opciones de seguridad

Creemos que es una buena idea usar la autenticación de 2 factores siempre que sea posible, y especialmente en lugares donde se almacenan datos confidenciales. LastPass tiene toda la razón al sugerir el uso de este servicio y creemos que debe hacerlo de inmediato, después de cambiar su contraseña maestra. De hecho, mientras lo hace, considere agregar el Factor de autenticación de 2 pasos a todos los servicios que utiliza que contienen datos confidenciales.

En LastPass, encontrará Opciones de factores múltiples en la Configuración de la cuenta (ver arriba). Aquí es donde encontrará opciones para proteger aún más su cuenta de LastPass. También verá la opción Autenticación de cuadrícula sobre la que hemos escrito anteriormente.

Restricción basada en el país

Otra capa de seguridad que LastPass implica que sus usuarios exploren es la política de restricción basada en el país. Una vez habilitado, esto permitirá que solo los dispositivos procedentes del país de su residencia accedan a sus datos de LastPass. Si un dispositivo de cualquier otro país intenta acceder a él, mostrará un mensaje de error. Hemos cubierto esto con mucho detalle y definitivamente deberías leerlo, si aún no lo has hecho.

Aún preocupado?

No se No hay nada más que hacer aquí. LastPass ya ha actualizado su seguridad y ya está solicitando a los usuarios que se verifiquen por correo electrónico, si están utilizando un nuevo dispositivo o una nueva IP. Para verificar esto, lo intentamos y nos complació informar que este paso funciona exactamente como se anuncia.

También se les solicita a los usuarios existentes que cambien su Contraseña maestra, pero incluso si no recibe ese aviso, le recomendamos que lo haga de todos modos. Por último, nos gustaría citar a Jeremi Gosney (un experto en seguridad de contraseñas en Stricture Group) que habló con Ars Technica sobre el pirateo:

En un NVIDIA GTX Titan X, que actualmente es la GPU más rápida para descifrar contraseñas, un atacante solo podría hacer menos de 10, 000 conjeturas por segundo para un solo hash de contraseña. Eso es correcto lento! Incluso las contraseñas débiles son bastante seguras con ese nivel de protección (a menos que esté usando una contraseña absurdamente débil). Y esto ni siquiera tiene en cuenta la cantidad de iteraciones del lado del cliente, que es configurable por el usuario. El valor predeterminado es 5, 000 iteraciones, por lo que como mínimo estamos viendo 105, 000 iteraciones. De hecho, tengo el mío configurado en 65, 000 iteraciones, así que eso es un total de 165, 000 iteraciones que protegen mi frase de contraseña de Diceware. Así que no, definitivamente no estoy sudando esta violación. Ni siquiera me siento obligado a cambiar mi contraseña maestra.

De hecho, bastantes miembros de nuestro propio equipo usan la herramienta y hemos hecho exactamente lo mismo que hemos dicho anteriormente. Y ahora deseamos difundir el conocimiento a tantas personas como sea posible.

¿Quieres probar alternativas?

De acuerdo, si siente que ha perdido la fe en LastPass debido a todo esto, entonces, por supuesto, siempre hay alternativas. Si está dispuesto a invertir un poco de dinero (y algo de esa fe perdida), siempre hay 1 Contraseña. Es la misma arquitectura y medidas de seguridad en juego, pero Agilebits, la compañía detrás de 1Password, tiene un mejor historial que LastPass. Con eso queremos decir que nunca ha sido pirateado. No se ha informado, para ser más precisos. Todavía.

Transfiera sus contraseñas en iOS: una vez que lea nuestro útil artículo, es fácil transferir sus datos de LastPass a 1Password para iOS.

Si no está dispuesto a gastar nada, entonces hay una alternativa gratuita. Se llama KeepPass y también es de código abierto. Y también hemos escrito una guía para transferir sus contraseñas de LastPass a Keepass.

Aunque no es tan conveniente como 1Password, si está dispuesto a jugar, se pueden agregar algunos complementos para que coincidan con la funcionalidad de su par pagado. Sin embargo, requiere algo de paciencia, así que prepárate.

Nuestros 2 centavos

Es muy fácil culpar a una empresa y decir que no tuvieron cuidado con sus datos. Pero eso es tan bueno como culpar a los bancos cuando hay un robo. La gente no ha dejado de poner su dinero allí y tampoco debes dejar de confiar en los administradores de contraseñas, solo porque uno fue pirateado.

Ni siquiera estamos diciendo que la seguridad fue laxa por parte de LastPass, pero definitivamente necesitan levantarse los calcetines. No fue la primera vez que se detectó una amenaza en su sistema, pero en ambas ocasiones no se robó ni perdió nada importante. Actuaron notificando a los usuarios de manera rápida e inmediata y ya se han ocupado del problema de seguridad que condujo a esto. Con un poco más de precaución, puede garantizar un estado mental mucho más feliz. Si puede pasar todo ese tiempo pensando en su saldo bancario, ¿estamos seguros de que también puede reflexionar sobre las contraseñas que también las mantienen seguras?