Los administradores de contraseñas son geniales Cómo los administradores de contraseñas mantienen sus contraseñas seguras Cómo los administradores de contraseñas mantienen sus contraseñas seguras Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar seguro? Necesitas un administrador de contraseñas Así es como funcionan y cómo te mantienen a salvo. Lea más, al menos en papel. Desafortunadamente, las cosas pueden salir mal de vez en cuando, como LastPass está descubriendo. Después de haber sobrevivido a una amenaza de seguridad hace un par de semanas, LastPass ahora está en el medio de otra. Y este parece mucho más complicado de arreglar.
El investigador de seguridad de Google Tavis Ormandy descubrió recientemente una vulnerabilidad LastPass. Inmediatamente informó a LastPass del problema, y la compañía ya está trabajando en una solución. Sin embargo, los usuarios se mantienen intencionalmente a oscuras por razones obvias. Entonces, ¿debería estar preocupado?
Google Zero encuentra que LastPass quiere
El sábado (25 de marzo), Ormandy, que trabaja para el Proyecto Zero de Google, tuiteó que había descubierto una vulnerabilidad del lado del cliente en la extensión del navegador LastPass. Obviamente, no divulgó los detalles, sino que notificó a la empresa sobre el problema y le dio a LastPass el estándar de 90 días para solucionarlo.
Ah-ha, tuve una epifanía en la ducha esta mañana y me di cuenta de cómo obtener codeexec en LastPass 4.1.43. Informe completo y explotar en el camino. pic.twitter.com/vQn20D9VCy
- Tavis Ormandy (@taviso) 25 de marzo de 2017
El lunes (27 de marzo), LastPass publicó una publicación en el blog reconociendo el problema, revelando que "este ataque es único y altamente sofisticado". LastPass obviamente no está revelando la naturaleza del problema, pero promete que ahora está "abordando activamente la vulnerabilidad".
Mientras tanto, LastPass sugiere a los usuarios que inicien sitios web directamente desde LastPass Vault, habiliten la autenticación de dos factores en cualquier lugar y estén atentos contra los ataques de phishing. Nuevas técnicas de phishing para tener en cuenta: Vishing y Smishing Nuevas técnicas de phishing para tener en cuenta: Vishing y Smishing Vishing y smishing son nuevas variantes peligrosas de phishing. ¿Qué deberías estar buscando? ¿Cómo sabrá un intento de vishing o smishing cuando llegue? ¿Y es probable que seas un objetivo? Lee mas . Este es un buen consejo, pero siempre existe la opción de dejar de usar LastPass por completo.
Si usa LastPass, como mínimo, debe cambiar la forma en que lo está usando de la manera que lo recomienda LastPass. Y, dada la naturaleza de esta vulnerabilidad, es posible que desee dejar de usar LastPass por completo hasta después de la corrección. Después de todo, hay muchas alternativas de LastPass. 5 Mejores alternativas de LastPass para administrar sus contraseñas. 5 Mejores alternativas de LastPass para administrar sus contraseñas. Muchas personas consideran que LastPass es el rey de los administradores de contraseñas; está lleno de funciones y cuenta con más usuarios que cualquiera de sus competidores, ¡pero está lejos de ser la única opción! Lee mas .
LastPass asusta con facilidad
Como se mencionó anteriormente, este es el segundo susto de seguridad en el mismo número de semanas. Lo cual debería preocupar al usuario promedio de LastPass. Las vulnerabilidades anteriores se parcharon rápidamente, pero, según Ormandy, este es "un problema arquitectónico importante". Lo que significa que tomará bastante más tiempo arreglarlo.
¿Usas LastPass? ¿Estás preocupado por esta vulnerabilidad? ¿Vas a seguir el consejo de LastPass? ¿O dejar de usar la extensión del navegador por completo? ¿Cómo te sientes con respecto a los administradores de contraseñas en general? ¡Por favor háznoslo saber en los comentarios más abajo!