Last Pass ha sido hackeado, lo usuarios deberán cambiar sus contraseñas de manera urgente

por Bitdefender Security Specialists, para 07 November 2016

En nuestra investigación, no hemos encontrado evidencia de que los datos de usuario cifrado fueran robados, ni de que se haya accedido a cuentas de usuarios LastPass, " Escribió Joe Siegrist, Director General de LastPass, en su blog el lunes pasado.

"La investigación ha demostrado, sin embargo, que las direcciones de correo electrónico, recordatorios de contraseña de cuentas de LastPass, servidor por usuarios y hashes de autenticación fueron comprometidos."

Los recordatorios de contraseña y hashes ayudan al usuario a cifrar contraseñas en cadenas de caracteres imposibles de revertir - al menos en teoría.

 

¿Qué pueden hacer los hackers con tu clave LastPass?

Por ejemplo, abrir cuentas a base de fuerza bruta o desplegar campañas de phishing dirigidas y muy precisas, como pedir a los usuarios mediante mensajes falsos "Modificar una contraseña maestra LastPass”.

La compañía alega que los datos cifrados no fueron "tomadas", por lo que, las contraseñas de cuentas almacenadas a través LastPass son seguras. LastPass, también está seguro de que los atacantes no pueden abrir las bóvedas de usuario criptográficamente cerradas donde se almacenan sus contraseñas de texto sin formato.

"Estamos seguros de que nuestras medidas de cifrado son suficientes como para proteger a la gran mayoría de los usuarios", escribió Siegrist. "LastPass fortalece el hash de autenticación con una mezcla de azar y 100.000 series realizadas por el servidor PBKDF2-SHA256, además de las series realizadas por parte del cliente. Este fortalecimiento adicional hace que sea difícil de atacar a los hashes robados con cualquier velocidad significativa”.

El PBKDF2-SHA256 es un algoritmo de fortalecimiento de contraseña que hace un proceso lento y requiere muchos recursos.

No obstante, la compañía lo recomienda para aquellos usuarios que inician una sesión en el servicio de una nueva dirección IP del dispositivo o para verificar su identidad a través de correo electrónico o la autenticación de dos factores.

La Autenticación de dos factores es una característica de seguridad que requiere que los usuarios confirmen su identidad mediante la introducción de un código enviado a un dispositivo después de introducir sus credenciales.

Bitdefender Security Specialists

Bitdefender Labs