LastPass, el popular gestor de contraseñas, acaba de haber público un comunicado en el que reconocen haber sido "hackeados". En concreto, han detectado "actividad sospechosa" en su red y han comprobado que los atacantes han tenido acceso a información personal de sus usuarios, como la dirección de correo, los elementos que estos utilizan para "recordar" contraseñas y hashes de autentificación de la propia cuenta de LastPass.
Según la compañía, no han encontrado pruebas de que los datos cifrados del usuario (entre los que se incluyen las propias contraseñas que se almacenan en su aplicación) se hayan filtrado. En cualquier caso, si eres usuario de LastPass te obligarán a cambiar tu contraseña maestra por precaución y, en el caso de que te identifiques por primera vez desde un nuevo dispositivo o IP, tendrás que confirmar que eres tú a través de un correo electrónico.
Si eres usuario de LastPass, cambia tu contraseña maestra cuanto antes.
Si bien las contraseñas almacenadas dentro de tu cuenta no han sido comprometidas, sí que han podido obtener el hash de autentificación para el acceso a la misma. ¿Qué quiere decir esto? ¿Está tu cuenta en peligro? No, según la empresa:
"LastPass refuerza el hash de autentificación con un salt aleatorio y con 100.000 rondas de PBKDF2-SHA256 en el lado del servidor, además de las rondas que tienen lugar en el lado del cliente. Este refuerzo adicional hace que sea muy difícil atacar los hashes robados con una velocidad significativa"
Por eso, y a modo de precaución, tienes que cambiar tu contraseña maestra cuanto antes.
El peligro de guardar todo en un único lugar
No soy usuaria habitual de este tipo de servicios. Tan sólo lo intenté una vez y reconozco que no es para mí: tan sólo me atreví a almacenar algunas contraseñas secundarias. Con las principales de mi día a día, no. El tener todas tus claves en un único lugar es muy útil, pero también un peligro: si alguien adivina la contraseña maestra, estás vendido. Y, como se demuestra en estos casos, por mucho que te protejas en tu lado, siempre puede haber otra vulnerabilidad donde tú ya no alcanzas a controlar.
Si tú eres de los que lo utilizan, y además de tener siempre una contraseña maestra única y difícil, no te olvides de activar la verificación en dos pasos para ahorrarte disgustos de este tipo. LastPass soporta varias opciones básicas (como Google Authenticator o Microsoft Authenticator App), pero si además eres usuario premium podrás incluso utilizar tu huella dactilar u otros métodos más avanzados.
Más información | LastPass
Ver 49 comentarios
49 comentarios
nvidia
Y por eso intento recordarlas en mi cabeza y no en webs raras. (Y en algún papel xD)
c0rsa1r
Con las medidas de seguridad extra que proporciona Lastpass (multifactor acc, trusted devices, password alert, country restriction) además del doble autenthication para el email de recuperación pues por suerte si cae la master pass no está todo perdido.
eduardo.machado.166
Además de la opción Multifactor de lastpass, otra opción que conviene tener activada es Country Restriction (está en Advanced Settings) y marcar solamente el país donde vivimos. Esto asegura que le negará el acceso a cualquiera que intente desde un país distinto al nuestro.
r a g n o r
¿Cuantas noticias asi llevamos ya en el ultimo año?
Y siempre digo lo mismo: estoy (ahora ya más que) harto de que traten a los usuarios como inútiles que no saben crear contraseñas, obligandonos a crear sistemas extranos de 20 caracteres, simbolos y numeros, y a sistemas de seguridad que producen mas molestias que ventajas para el usuario, como la verificacion de dos pasos. Y cuando tu tienes el culo bien cubierto, son ellos los que dejan la puerta abierta y se les cuelan por detras, con lo que tienes que volver a cambiar tus contraseñas (y el sistema para recordarlas a hacer puñetas).
Como siempre digo sobre el tema: de nada sirve ponerte un condón para protegerte del sida si luego te la meten por detrás sin protección.
r0uzic
No hay que fiarse de estos servicios webs ya que tarde o temprano acabarán siendo hackeados; lo recomendable es usar aplicaciones offline como KeePass ya que la seguridad de estos ficheros es exclusiva de su dueño.
Usuario desactivado
ya lo dije en la noticia que hablaba del gestor de contraseñas que quiere implementar android en los telefonos.... via "nube", que yo nunca me fio de los gestores "locales" , aunque entiendo su utilidad cada vez mas... pero los gestores de contraseñas via "nube" son lo peor de todo , es peor que utilizar patrones de contraseñas en los siferentes servicios
Eduardo Alfaro
Trabajamos con diseño web y tenemos una cantidad de contraseñas que tu mente no es capaz de soportar, desde que usamos lastpass tenemos todo controlado, y hemos probado varios otros pero este era mejor. A nosotros nos viene muy bien y nos ha salvado muchas veces estando fuera del estudio para acceder a un sitio que no recordabamos la contraseña. Para un usuario normal, una libreta está de sobra, pero si tienes más de 100 contraseñas, se hace muy necesario utilizar software como este.
Si bien es cierto que se le han metido por detrás, son ellos los que deben comentarnos que tanto ha sido el agujero, (nunca te dirán la verdad al 100%).
cambia tu contraseña maestra de inmediato!!
pacman2013
Siempre he desconfiado de estos servicios, pero si acaso lo llegara a usar solo lo haría con cuentas de cosas "no tan importantes". Mi correo principal y mis redes sociales intentaría dejarlas fuera de estos recordadores de contraseñas.
ShakaShion
.... y de los servicios de alojamiento en la nube.... y de facturación .... y de banca..... y de ......
Todo servicio en la nube tiene este riesgo, es algo, hoy por hoy, inevitable, por lo que si nos atrevemos a ceder nuestros datos a un tercero, deberíamos de activar todas las medidas de seguridad para ello, y así minimizamos al mínimo este tipo de sucesos. Y si no queremos, molestamos en hacerlo, pues existen multitud de gestores de contraseñas offline, para ello. ¿Es un engorro? Un poco más si, en mi caso, uso keepassX, y la BBDD la tengo configurada en un pen encriptado, y siempre viaja conmigo, así cualquier cambio requiere de conectar dicho pendrive, evidentemente en el lugar más oscuro, perdido y seguro de casa tengo un backup.
alvarolopez17
Yo uso 1Password. Siempre y cuando no sincronices via iCloud o Dropbox, tus contraseñas no salen de tu iPhone.
neo_galaxy
Justo acababa de instalárselo a una madrina en su computadora para que no se le olvidaran las contraseñas, llego a mi casa y leo esto, y digo "Are you kidding me?!" por suerte parece ser que lo hice después del anuncio, pero tengo el problema de que no me deja cambiar la contraseña porque los servidores están sobrecargados en Firefox, pero en Chrome funciona
paulinator
Yo he observado los logs de la actividad reciente en mi cuenta de LastPass y veo que hay una entrada en mi cuenta de mi proveedor de telefonía móvil hace 5 días y yo no he entrado ahí desde hace al menos dos meses. Me da la impresión de que los hackers han conseguido entrar en las cuentas que guardas en LastPass. Esto puede ser mucho más grave de lo que han dicho. Si han llegado a las contraseñas, esto nos obligará a cambiarlas todas.
abelnightroad
Lo sé, es un riesgo bastante obvio, pero hoy existe una gran variedad de sitios web y es natural estar registrado en varios de estos, mi problema no es memorizar las contraseñas sino que es agotador hacer lo mismo una y otra vez, especialmente en sitios donde el captcha del formulario falla. Me encantaría probar LastPass, pues su empresa es legítima y creo que funciona en la mayoría de navegadores, sin embargo, es el gestor de contraseñas más popular que existe y es de esperar que todos los crackers tengan sus ojos puestos en éste. Por dichos motivos uso gestores de contraseñas menos conocidos.
Este post me recuerda que debo hacer un respaldo de mis contraseñas, tengo un tiempo que no lo hago, pues así mismo un sitio web no es eterno y por eso existen dichas opciones para asegurar la información.
dlhnetworks
Vamos a ver gente. Lastpass tiene metodos de autentificacion seguras, que todo dios tendria que tener activadas.Por ejemplo, tengo la yubikey y es mi salvacion, pues aunque tengan mi contraseña maestra, com no tengan mi llave fisica no pueden entrar. Tambien esta la autentificacion por Google Authenticator. y otros metodos muy buenos para que aunque sepan tu hash de identificacion un "hacker" LE DA IGUAL PORQUE NECESITA OTRO CODIGO QUE SOLO EL USUARIO POSEE YA SEA EN LA APLICACION DE Google Authenticator ó de Yubikey.
Como bien dice un usuario,hay una opcion que tambien recomiendo activar que es el Country Restriction. para que ni siquiera lo intenten desde fuera de españa.
Yo confio plenamente en LastPass, y he sido de los primeros betatester de esta extension desde sus origenes, y me han informado que contraseñas de webs y aplicaciones no han sido vulneradas. SOlo el hash de la contraseña maestra. Asi pues a la gente que no tenga seguridad "extra" como mencione mas arriba, deberia cambiar la contraseña maestra cuanto antes.
Un saludo gente y ya sabeis.Cambiar la contraseña maestra de vez en cuando, que siempre viene bien.
Un saludo!
romano2
Vaya susto, yo tengo todo almacenado en LastPass, acabo de cambiar la contraseña maestra y voy a indagar un poco más en la configuración para lo de country restriction.
Saludos
horasquin
Uso DashLane, tengo demasiados passwords y al final te haces un lío por mucho patrón que tengas para generar contraseñas. Nunca he tenido problemas con este gestor, en su día estuve mirando mucho, entre lastpass, dashlane, keepass y al final el que se ajustaba era dashlane, me gustaba más lastpass pero en mi investigación encontré que ya había sido hackeado una vez en 2011 creo, ahora no recuerdo bien, por lo que me echó para atrás. Estuve un año con dashlane en su versión free y ya luego di el salto a la premium, muy contento con el servicio y la sincronización con el móvil.
mariacastro jimenez
ayyyy ahora guardar cosas en el celular es todo un peligro... yo por eso le instale un antivirus bastante bueno y gratis que tiene la opción de cofre para proteger cada una de sus aplicaciones... se llama psafe ojala la descarguen y les funcione tan bien como a mi