Si usted es uno de los miles de usuarios de LastPass que se han sentido muy seguros usando Internet gracias a promesas de seguridad casi irrompible, puede sentirse un poco menos seguro sabiendo que el 15 de junio, la compañía anunció que detectaron una intrusión en sus servidores.
LastPass inicialmente envió un aviso por correo electrónico a los usuarios informándoles que la compañía había detectado "actividad sospechosa" en los servidores LastPass, y que las direcciones de correo electrónico de los usuarios y los recordatorios de contraseñas habían sido comprometidos.
La compañía aseguró a los usuarios que no se habían comprometido los datos cifrados de la bóveda, pero desde las contraseñas de usuario hash. Qué significa todo esto MD5 Hash Stuff [Explicación de la tecnología] Qué significa todo esto MD5 Hash [Explicación de la tecnología] Aquí hay un resumen completo de MD5, hash y una pequeña descripción de computadoras y criptografía. Se obtuvo más información, la empresa aconsejó a los usuarios actualizar sus contraseñas maestras, solo para estar seguros.
The LastPass Hack explicado
Esta no es la primera vez que los usuarios de LastPass se preocupan por los piratas informáticos. El año pasado, entrevistamos al CEO de LastPass Joe Siegrist Joe Siegrist de LastPass: La verdad sobre su seguridad de contraseña Joe Siegrist de LastPass: la verdad sobre su seguridad de contraseña Lea más sobre la amenaza Heartbleed, donde sus garantías tranquilizan los temores de los usuarios.
Esta última violación tuvo lugar a fines de la semana anterior al anuncio. Para cuando se detectó e identificó como una intrusión de seguridad, los atacantes se salieron con las direcciones de correo electrónico de los usuarios, preguntas y respuestas de recordatorio de contraseña, contraseñas de usuario hash y sales criptográficas. Conviértase en un esteganographer secreto: Oculte y cifre sus archivos Conviértase en un Steganographer secreto: Ocultar y cifrar sus archivos Leer más.
La buena noticia es que la seguridad del sistema LastPass fue diseñada para resistir tales ataques. La única forma de acceder a sus contraseñas de texto sin formato sería que los hackers descifren las contraseñas maestras bien aseguradas. Utilice una estrategia de administración de contraseñas para simplificar su vida. Use una estrategia de administración de contraseñas para simplificar su vida. -imposible de seguir: use una contraseña segura que contenga números, letras y caracteres especiales; cambiarlo regularmente; proponer una contraseña completamente única para cada cuenta, etc. ... Leer más.
Debido al mecanismo utilizado para cifrar su contraseña maestra, se necesitarían grandes cantidades de recursos informáticos para descifrarla, recursos a los que la mayoría de los hackers de nivel medio o medio no tienen acceso.
La razón por la que está tan protegido cuando usa LastPass es porque el mecanismo que hace que la contraseña maestra sea tan difícil de obtener se llama "hashing lento" o "hashing with salt".
Cómo funciona Hashing
LastPass utiliza una de las técnicas de encriptación más seguras del mundo, llamada hash con sal.
La "sal" es un código que se genera utilizando una herramienta de criptografía, una especie de generador de números aleatorios avanzado 5 Generadores de contraseñas gratis para contraseñas casi imposibles de descifrar 5 Generadores de contraseñas gratis para contraseñas casi imposibles de descifrar Leer más creado específicamente para seguridad, si se quiere. Estas herramientas crean códigos completamente impredecibles cuando crea su contraseña maestra.
Lo que ocurre cuando creas tu cuenta es que la contraseña es "hash" usando uno de estos números "salt" generados al azar (y muy largos). Nunca se reutilizan, son únicos para cada usuario y cada contraseña. Finalmente, en la tabla de cuentas de usuario, encontrará solo la sal y el hash.
La versión de texto actual de su contraseña maestra nunca se almacena en los servidores LastPass, por lo que los hackers no tienen acceso a ella. Todo lo que pudieron obtener en esta intrusión son estas sales aleatorias y los hash codificados.
Entonces, la única forma en que LastPass (u otra persona) puede validar su contraseña es:
- Recupere el hash y la sal de la tabla de usuario.
- Use la sal en la contraseña que el usuario ingresa, hash usando la misma función hash que se usó cuando se generó la contraseña.
- El hash resultante se compara con el hash almacenado para ver si coincide.
En la actualidad, los hackers pueden generar miles de millones de hashes por segundo, así que ¿por qué un hacker no puede usar la fuerza bruta para descifrar estas contraseñas? Ophcrack: una herramienta de hack para descifrar casi cualquier contraseña de Windows Ophcrack: una herramienta de hack para descifrar Casi cualquier contraseña de Windows Hay muchas razones diferentes por las que uno querría usar cualquier cantidad de herramientas de hackeo de contraseñas para hackear una contraseña de Windows. Lee mas ? Esta seguridad adicional es gracias al lento hash.
Por qué Slow-Hashing te protege
En un ataque como este, es realmente la parte de hash lenta de la seguridad de LastPass lo que realmente te protege.
LastPass hace que la función hash utilizada para verificar la contraseña (o crearla) funcione muy lentamente. Esto esencialmente pone fin a cualquier operación de fuerza bruta de alta velocidad que requiera velocidad para bombear a través de miles de millones de hashes posibles. No importa cuánto poder computacional tenga la última tecnología informática para creer Cree la última tecnología informática que tenga que ver para creer Vea algunas de las últimas tecnologías informáticas que transformarán el mundo de la electrónica y las computadoras en los próximos años . Más información sobre el sistema hacker, el proceso para romper el cifrado aún llevará una eternidad, esencialmente haciendo inútiles los ataques de fuerza bruta.
Además de eso, LastPass no solo ejecuta el algoritmo hash una vez, lo ejecutan miles de veces en su computadora y luego nuevamente en el servidor.
Así es como LastPass explicó su propio proceso a los usuarios en una publicación de blog posterior a este último ataque:
"Nos hash el nombre de usuario y la contraseña maestra en la computadora del usuario con 5, 000 rondas de PBKDF2-SHA256, un algoritmo de fortalecimiento de contraseñas. Eso crea una clave, en la que realizamos otra ronda de hash, para generar el hash de autenticación de contraseña maestra ".
El servicio de ayuda de LastPass tiene una publicación que describe cómo LastPass utiliza el hashing lento:
LastPass ha optado por usar SHA-256, un algoritmo hash más lento que proporciona más protección contra los ataques de fuerza bruta. LastPass utiliza la función PBKDF2 implementada con SHA-256 para convertir su contraseña maestra en su clave de cifrado.
Lo que esto significa es que a pesar de esta reciente violación de seguridad, sus contraseñas son bastante seguras, aunque su dirección de correo electrónico no lo sea.
¿Qué pasa si mi contraseña es débil?
Hay un punto excelente mencionado en el blog LastPass sobre las contraseñas débiles. A muchos usuarios les preocupa que no hayan ideado una contraseña lo suficientemente única, y que estos hackers puedan adivinarla sin demasiado esfuerzo.
También existe el riesgo remoto de que su cuenta sea una de las que los hackers están perdiendo el tiempo tratando de descifrar, y siempre existe la posibilidad remota de que puedan obtener su contraseña maestra. ¿Entonces que?
La conclusión es que todo ese esfuerzo se desperdiciará, ya que el inicio de sesión desde otro dispositivo requiere verificación por correo electrónico (su correo electrónico) antes de que se otorgue el acceso. Desde el blog LastPass:
"Si el atacante intentó obtener acceso a sus datos mediante el uso de estas credenciales para iniciar sesión en su cuenta de LastPass, se detendrían mediante una notificación pidiéndoles que primero verifiquen su dirección de correo electrónico".
Entonces, a menos que de alguna manera puedan hackear su cuenta de correo electrónico además de descifrar un algoritmo casi indescifrable, realmente no tiene nada de qué preocuparse.
¿Debo cambiar mi contraseña maestra?
Si desea o no cambiar su contraseña maestra realmente se reduce a lo paranoico o desafortunado que se siente. ¿Si crees que puedes ser la única persona desafortunada a la que han pirateado sus contraseñas los piratas informáticos con talento que de alguna manera pueden descifrar a través de la rutina de hash de 100.000 ronda de LastPass y un código exclusivo para ti?
Por supuesto, si te preocupan estas cosas, cambia tu contraseña solo por tranquilidad. Significará que al menos su sal y hash, en manos de los hackers, se vuelven inútiles.
Sin embargo, hay expertos en seguridad que no están del todo interesados, como el experto en seguridad Jeremi Gosney en Structure Group, quien dijo a los periodistas:
"El valor predeterminado es 5.000 iteraciones, por lo que como mínimo estamos viendo 105, 000 iteraciones. De hecho, tengo el mío configurado en 65, 000 iteraciones, por lo que hay un total de 165, 000 iteraciones que protegen mi frase de contraseña de Diceware. Así que no, definitivamente no estoy sudando esta brecha. Ni siquiera me siento obligado a cambiar mi contraseña maestra ".
La única preocupación real que debería tener sobre esta violación de datos es que los piratas informáticos ahora tienen su dirección de correo electrónico, que podrían utilizar para realizar expediciones masivas de phishing y engañar a las personas para que renuncien a sus contraseñas, o quizás hagan algo tan mundano como la venta de todos esos correos electrónicos de usuario a los spammers en el mercado negro.
La conclusión es que el riesgo de esta intrusión de seguridad sigue siendo mínimo, gracias a la seguridad abrumadora del sistema LastPass. Pero el sentido común dice que cada vez que los hackers obtienen los detalles de su cuenta, incluso protegidos a través de miles de iteraciones criptográficas avanzadas, siempre es bueno cambiar su contraseña maestra, incluso si es por tranquilidad.
¿La suspensión de la seguridad de LastPass lo puso muy preocupado por la seguridad de LastPass, o tiene confianza en la seguridad de su cuenta allí? Comparta sus pensamientos e inquietudes en la sección de comentarios a continuación.
Créditos de las imágenes: bloqueo de seguridad a través de Shutterstock, Csehak Szabolcs a través de Shutterstock, Bastian Weltjen a través de Shutterstock, McIek a través de Shutterstock, GlebStock a través de Shutterstock, Benoit Daoust a través de Shutterstock