Lastpass es violada: qué se necesita para cambiar su contraseña maestra?

Si eres uno de los miles de usuarios LastPass que han sentido muy seguro utilizando Internet gracias a promesas de seguridad casi irrompible, se puede sentir un poco menos seguro sabiendo que el 15 de junio, la compañía anunció que detectaron una intrusión en sus servidores.

LastPass envió inicialmente una notificación por correo electrónico a los usuarios avisándoles de que la empresa había detectado “actividades sospechosas” en los servidores de LastPass, y que las direcciones de correo electrónico de usuario y contraseña recordatorios había sido comprometida.

La compañía aseguró que los usuarios no cifrados los datos del almacén habían sido comprometidos, pero dado que el contraseñas de usuario hash se había obtenido, la compañía aconseja al usuario que actualice sus contraseñas maestras, sólo para estar seguro.Lo que todo esto hash MD5 cosas que realmente significa [Tecnología Explicación]Lo que todo esto hash MD5 cosas que realmente significa [Tecnología Explicación]Aquí hay una decadencia completa de MD5, hash y un pequeño resumen de los ordenadores y la criptografía.Lee mas

El LastPass Hack Explicación

Esta no es la primera vez que los usuarios LastPass se han preocupado por los piratas informáticos. El año pasado, CEO entrevistados LastPass Joe Siegrist tras la amenaza de heartbleed, donde sus palabras tranquilizadoras establecen los temores de los usuarios a sus anchas.

Esta última infracción tuvo lugar a finales de la semana antes del anuncio. En el momento en que fue detectado e identificado como una intrusión de seguridad, los atacantes habían salido con direcciones de correo electrónico de usuarios, preguntas / respuestas recordatorio de su clave de usuario, contraseñas y hash sales criptográficos.Convertirse en un Steganographer Secreto: Ocultar y cifrar sus archivosConvertirse en un Steganographer Secreto: Ocultar y cifrar sus archivosLee mas

LastPass-breach1

La buena noticia es que la seguridad del sistema LastPass fue diseñado para soportar este tipo de ataques. La única manera de acceder a sus contraseñas en texto plano sería que los hackers para descifrar el contraseñas maestras bien asegurado.Utilizar una estrategia de gestión de contraseñas para simplificar su vidaUtilizar una estrategia de gestión de contraseñas para simplificar su vidaMuchos de los consejos alrededor de contraseñas ha sido casi imposible seguir: utilizar una contraseña segura que contiene números, letras y especial personajes- cambiarlo regularly- vienen con una contraseña completamente único para cada cuenta, etc ....Lee mas

Debido al mecanismo utilizado para cifrar la contraseña maestra, se necesitarían grandes cantidades de recursos de computación para descifrarlo - recursos que la mayoría pequeñas o de nivel medio de los hackers no tienen acceso.

LastPass-breach2

La razón que usted está tan protegido cuando utiliza LastPass se debe a que el mecanismo que hace que la contraseña maestra tan difícil de obtener que se llama “hash lento” o “hash con sal.”

¿Cómo funciona Hashing

LastPass utiliza una de las técnicas de encriptación más seguros del mundo, llamados hash con sal.

LastPass-breach3

La “sal” es un código que se genera mediante una herramienta de criptografía - una especie de avanzada generador de números aleatorios creado específicamente para la seguridad, si se quiere. Estas herramientas crean códigos completamente impredecibles cuando se crea su contraseña maestra.5 generadores de contraseñas gratuitos para las contraseñas Casi unhackable5 generadores de contraseñas gratuitos para las contraseñas Casi unhackableLee mas

¿Qué ocurre cuando se crea la cuenta es la contraseña es “hash” utilizando uno de estos números “sal” generados al azar (y muy largas). Estas nunca se vuelven a utilizar - que son únicos para cada usuario y cada contraseña. Por último, en la tabla de cuenta de usuario, encontrará únicamente la sal y el hash.

La versión de texto de su contraseña maestra nunca se almacena en los servidores de LastPass, por lo que los piratas informáticos no tienen acceso a ella. Todo lo que fueron capaces de obtener en esta intrusión son estas sales azar, y los hashes codificados.

Por lo tanto, la única manera de LastPass (o cualquiera) puede validar la contraseña es:

  1. Recuperar el hash y la sal de la tabla de usuario.
  2. Usar la sal en la contraseña que el usuario escribe en hash, utilizando la misma función hash que se utilizó cuando se generó la contraseña.
  3. El hash resultante se compara con el hash almacenado para ver si se trata de un partido.

En estos días, los hackers son capaces de generar mil millones de hashes por segundo, ¿por qué no puede un hacker sólo tiene que utilizar la fuerza bruta de romper estas contraseñas? Esta seguridad adicional gracias a ralentizar-hash.Ophcrack - Una contraseña Hack herramienta para romper casi cualquier contraseña de WindowsOphcrack - Una contraseña Hack herramienta para romper casi cualquier contraseña de WindowsHay un montón de diferentes razones por las que uno quiera usar cualquier número de herramientas de la contraseña de hackers para hackear una contraseña de Windows.Lee mas

¿Por qué Slow-Hashing le protege

En un ataque como este, es realmente la parte lenta de hash de la seguridad LastPass que realmente le protege.

LastPass-breach4

LastPass hace la función de hash utilizado para verificar la contraseña (o crearlo) trabajar muy lentamente. Esto pone en esencia se rompe en cualquier alta velocidad, el funcionamiento de fuerza bruta que requiere velocidad con el fin de bombear con mil millones de posibles valores hash. No importa la cantidad de potencia de cálculo el sistema del hacker ha, el proceso de romper el cifrado aún llevará siempre, esencialmente haciendo ataques de fuerza bruta inútil.La última tecnología informática lo que tiene que ver para creerLa última tecnología informática lo que tiene que ver para creerEcha un vistazo a algunas de las últimas tecnologías informáticas que se establecen para transformar el mundo de la electrónica y ordenadores en los próximos años.Lee mas

Además de eso, LastPass no se limita a ejecutar el algoritmo de hash de una vez, corren miles de veces en el equipo, y luego otra vez en el servidor.

Así es como LastPass explicó su propio proceso a los usuarios en un blog después de este último ataque:

“Nos hash tanto el nombre de usuario y la contraseña maestra en el ordenador del usuario con 5.000 rondas de PBKDF2-SHA256, una contraseña fortalecimiento algoritmo. Eso crea una clave, en el que llevamos a cabo otra ronda de hash, para generar el hash de autenticación de contraseña maestra “.

El LastPass Help Desk tiene un post que describe cómo utiliza LastPass lento hash:

LastPass ha optado por utilizar SHA-256, un algoritmo de hash más lenta que proporciona una mayor protección contra los ataques de fuerza bruta. LastPass utiliza la función PBKDF2 implementado con SHA-256 para convertir su contraseña maestra en su clave de cifrado.

Lo que esto significa es que a pesar de este reciente fallo de seguridad, las contraseñas son más o menos sigue siendo muy seguro, a pesar de que su dirección de correo electrónico no es.

¿Qué pasa si mi contraseña es débil?

Hay un excelente punto criado en el blog LastPass en relación con contraseñas débiles. Muchos usuarios están preocupados de que ellos no inventan una contraseña única suficiente, y que estos hackers serán capaces de adivinar sin mucho esfuerzo.

Vídeo: Cómo cambiar todas tus contraseñas desde un solo lugar

También existe el riesgo remoto de que su cuenta es una de las que los piratas informáticos están perdiendo su tiempo tratando de descifrar, y siempre hay la posibilidad remota de que podían obtener con éxito su contraseña maestra. ¿Entonces que?

LastPass-breach5

La conclusión es que todos los esfuerzos que se desperdiciaría, ya que iniciar sesión desde otro dispositivo requiere la verificación por correo electrónico - su correo electrónico - antes de conceder el acceso. Desde el blog LastPass:

“Si el atacante intentó obtener acceso a sus datos mediante el uso de estas credenciales para acceder a su cuenta LastPass, estarían detenidos por una notificación pidiéndoles que primero verificar su dirección de correo electrónico.”

Por lo tanto, a menos que de alguna manera se pueden cortar en su cuenta de correo electrónico además de desencriptar un algoritmo casi indescifrable, que realmente no tienen nada de qué preocuparse.

¿Debo cambiar mi contraseña maestra?

Sea o no desea cambiar su contraseña maestra realmente se reduce a la forma paranoide o mala suerte que se siente. Si usted cree que puede ser el de una persona de mala suerte que ha su contraseña agrietada por los hackers con talento que son capaces de descifrar alguna manera a través de la rutina de hash de LastPass 100.000 redonda y un código de sal que es único sólo para usted?

Por supuesto, si usted se preocupa por esas cosas, cambiar su contraseña sólo para la paz de la mente. Se va a decir que, al menos, su sal y hachís, en manos de los piratas informáticos, se vuelve inútil.

Sin embargo, hay expertos en seguridad por ahí que no se preocupa en absoluto, como experto en seguridad Jeremi Gosney más en la Estructura Grupo que le dijo a los reporteros:

Vídeo: Tutorial Lastpass - Administracionvirtual.es

“El valor por defecto es de 5.000 iteraciones, por lo que, como mínimo, estamos buscando a 105.000 iteraciones. De hecho, tengo la mía establece en 65.000 iteraciones, por lo que es un total de 165.000 iteraciones que protegen mi contraseña Diceware. Así que no, no estoy definitivamente no sudar esta brecha. Ni siquiera siento obligado a cambiar mi contraseña maestra “.

La única preocupación real que debe tener acerca de esta violación de datos es que los hackers tienen ahora su dirección de correo electrónico, que podrían utilizar para llevar a cabo expediciones de phishing en masa para tratar de engañar a la gente a renunciar a sus diferentes contraseñas de cuentas - o tal vez pueden hacer algo tan mundano como la venta de todos los correos electrónicos de los usuarios a los spammers en el mercado negro.

La conclusión es que el riesgo de intrusión de seguridad sigue siendo mínima, gracias a la gran seguridad del sistema LastPass. Pero el sentido común dice que los piratas informáticos de tiempo han obtenido datos de su cuenta - incluso protegidos a través de miles de iteraciones criptográficas avanzadas - que siempre es bueno para cambiar su contraseña maestra, incluso si es para su tranquilidad.

¿El fallo de seguridad LastPass llegar muy preocupados por la seguridad de LastPass, o está seguro acerca de la seguridad de su cuenta allí? Compartir sus pensamientos y preocupaciones en la sección de comentarios.

Artículos Relacionados