Portada
mis comunidades
otras secciones
#2:
...y dejar de usar gestores de contraseña online.
#7:
La empresa recomienda a sus usuarios cambiar las contraseñas de todos los sitios web en los que se utilizaba el servicio.
No, no hace eso.
Básicamente dicen que si para acceder a LastPass usas una contraseña segura los datos siguen protegidos al estar cifrados con AES de 256-bit, pero que si usabas una contraseña de mierda para acceder a LastPass, que es en lo que se deben haber sentido aludidos los de Xataka, entonces mejor que sí que cambies contraseñas.
Lo explican así:
As a reminder, LastPass’ default master password settings and best practices include the following:
- Since 2018, we have required a twelve-character minimum for master passwords. This greatly minimizes the ability for successful brute force password guessing.
- To further increase the security of your master password, LastPass utilizes a stronger-than-typical implementation of 100,100 iterations of the Password-Based Key Derivation Function (PBKDF2), a password-strengthening algorithm that makes it difficult to guess your master password. You can check the current number of PBKDF2 iterations for your LastPass account here.
- We also recommend that you never reuse your master password on other websites. If you reuse your master password and that password was ever compromised, a threat actor may use dumps of compromised credentials that are already available on the Internet to attempt to access your account (this is referred to as a “credential stuffing” attack).
If you use the default settings above, it would take millions of years to guess your master password using generally-available password-cracking technology. Your sensitive vault data, such as usernames and passwords, secure notes, attachments, and form-fill fields, remain safely encrypted based on LastPass’ Zero Knowledge architecture. There are no recommended actions that you need to take at this time.
However, it is important to note that if your master password does not make use of the defaults above, then it would significantly reduce the number of attempts needed to guess it correctly. In this case, as an extra security measure, you should consider minimizing risk by changing passwords of websites you have stored.
Fuente: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
No, no hace eso.
Básicamente dicen que si para acceder a LastPass usas una contraseña segura los datos siguen protegidos al estar cifrados con AES de 256-bit, pero que si usabas una contraseña de mierda para acceder a LastPass, que es en lo que se deben haber sentido aludidos los de Xataka, entonces mejor que sí que cambies contraseñas.
Lo explican así:
As a reminder, LastPass’ default master password settings and best practices include the following:
- Since 2018, we have required a twelve-character minimum for master passwords. This greatly minimizes the ability for successful brute force password guessing.
- To further increase the security of your master password, LastPass utilizes a stronger-than-typical implementation of 100,100 iterations of the Password-Based Key Derivation Function (PBKDF2), a password-strengthening algorithm that makes it difficult to guess your master password. You can check the current number of PBKDF2 iterations for your LastPass account here.
- We also recommend that you never reuse your master password on other websites. If you reuse your master password and that password was ever compromised, a threat actor may use dumps of compromised credentials that are already available on the Internet to attempt to access your account (this is referred to as a “credential stuffing” attack).
If you use the default settings above, it would take millions of years to guess your master password using generally-available password-cracking technology. Your sensitive vault data, such as usernames and passwords, secure notes, attachments, and form-fill fields, remain safely encrypted based on LastPass’ Zero Knowledge architecture. There are no recommended actions that you need to take at this time.
However, it is important to note that if your master password does not make use of the defaults above, then it would significantly reduce the number of attempts needed to guess it correctly. In this case, as an extra security measure, you should consider minimizing risk by changing passwords of websites you have stored.
Fuente: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
#8:
#5 En el anuncio dicen que "si el usuario ha puesto una contraseña maestra siguiendo sus recomendaciones", tardarían tropecientos años en abrirlo por fuerza bruta.
Eso significa que la codificación por contraseña maestra es la última linea de defensa que tienen y que no han roto. Y es preocupante, porque es bastante probable que esa contraseña maestra no sea precisamente "dificil".
Si eres un usuario que delega en Lastpass crear contraseñas largas y seguras, no te tienes que preocupar de ellas. Pero si tienes que "recordar" la de Lastpass. Así que dificilmente va a tener 80 caracteres aleatorios imposibles de recordar para un humano. Al fin y al cabo, donde apuntarías esa contraseña? En otro gestor? En un post it?
Lo más probable es que haya una cantidad ingente de casos donde la contraseña maestra sea "fácil" de adivinar por un ataque de diccionario o combinando palabras y/o números (no el tipico ataque de fuerza bruta que prueba todas las combinaciones y es ineficiente).
Aparte que si ya lo tienen en su poder, tienen "todo el tiempo del mundo" para intentar romperlo. Da igual si tardan 1 dia, 1 semana, 1 mes... de ahí que "urjan" a cambiar las contraseñas.
Para finalizar mi dramatico hilo... las nuevas tarjetas gráficas tienen una capacidad gráfica brutal. Pero tambien de hacer otros cálculos... como ataques de fuerza bruta para reventar contraseñas. Y hay muchos mineros de criptomonedas que no saben que hacer con sus granjas de miles de tarjetas de gama alta... podrían (y seguramente lo hagan) alquilar por horas su capacidad de cálculo para fines más "oscuros"... (guiño guiño)
https://www.tomshardware.com/news/rtx-4090-password-cracking-comparison
https://www.thetechoutlook.com/news/innovation/nvidias-new-rtx-4090-graphics-card-is-capable-of-cracking-your-passwords-under-an-hour/
Eso significa que la codificación por contraseña maestra es la última linea de defensa que tienen y que no han roto. Y es preocupante, porque es bastante probable que esa contraseña maestra no sea precisamente "dificil".
Si eres un usuario que delega en Lastpass crear contraseñas largas y seguras, no te tienes que preocupar de ellas. Pero si tienes que "recordar" la de Lastpass. Así que dificilmente va a tener 80 caracteres aleatorios imposibles de recordar para un humano. Al fin y al cabo, donde apuntarías esa contraseña? En otro gestor? En un post it?
Lo más probable es que haya una cantidad ingente de casos donde la contraseña maestra sea "fácil" de adivinar por un ataque de diccionario o combinando palabras y/o números (no el tipico ataque de fuerza bruta que prueba todas las combinaciones y es ineficiente).
Aparte que si ya lo tienen en su poder, tienen "todo el tiempo del mundo" para intentar romperlo. Da igual si tardan 1 dia, 1 semana, 1 mes... de ahí que "urjan" a cambiar las contraseñas.
Para finalizar mi dramatico hilo... las nuevas tarjetas gráficas tienen una capacidad gráfica brutal. Pero tambien de hacer otros cálculos... como ataques de fuerza bruta para reventar contraseñas. Y hay muchos mineros de criptomonedas que no saben que hacer con sus granjas de miles de tarjetas de gama alta... podrían (y seguramente lo hagan) alquilar por horas su capacidad de cálculo para fines más "oscuros"... (guiño guiño)
https://www.tomshardware.com/news/rtx-4090-password-cracking-comparison
https://www.thetechoutlook.com/news/innovation/nvidias-new-rtx-4090-graphics-card-is-capable-of-cracking-your-passwords-under-an-hour/
#5:
Qué bien esto de los gestores de contraseñas. Ahora puedes no solo que te hackeen una contraseña, sino que te hackeen todas a la vez.
#1:
El anuncio de Lastpass:
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
Comentarios
...y dejar de usar gestores de contraseña online.
#2 No ha mucho, se me reían porque dije que almacenar un almacén de claves en local con acceso muy controlado podía ser, al menos tan seguro como uno en nube.
Como todo en esta vida, coste-beneficio.
#3 ¿Se reía quien? Algún amigo tonto cuñado o toda una comunidad entera?
La gente usa estas mierdas porque es práctico, algunos obvian lo que hacen realmente, y los que lo saben siguen sabiendo que es cómodo, pero nunca seguro
#4 Se supone que un grupillo de admins de cloud chachi pirulis.
Pero claro, como fue en rrss y mi especialidad no es la ciberseguridad, pues tampoco estoy como para entrar en detalles.
#4 El famoso cloudcuñado, un ser terrible.
#4 Buena historia pero poco práctica. ¿Para que quieres una contraseña que no usas? ¿O eres de los que aún navegan exclusivamente desde el PC (si acaso queda alguno?
#3 una libretita me hace el apaño
#12 Espero que la actualices según las buenas prácticas y que la guardes bajo una buena llave
La de postit que habré arrancado de monitores
#13 encripto la libreta
#21 los que manejais parne podeis permitiros criptas en el sotano, asi cualquiera
#21 pues es lo que he hecho yo
#21 ¿Eres médico?
#47 Que yo sepa no, pero te puedo recetar unas pirulas si quieres
#49 La única forma que se me ocurre de encriptar una libreta es usando un médico para escribir y un farmacéutico para leer.
#12 yo eso lo veo para las claves de servicios que no te preguntan cada 2x3 la contraseña o codigos de recuperación de 2FA importantes
#12 A mi también. Las tengo todas anotadas en una libreta por si alguna vez se me olvida alguna (de momento no la he necesitado).
Mis claves de acceso siempre conmigo (en la cabeza o en una libreta), está la cosa como para fiarse de clouds y esas tonterías.
Idem con mis archivos (HD o Pen), pero siempre en local.
#3 pregunta, si tienes que acceder a un servicio online que te pide la contraseña desde tu móvil y fuera de casa, ¿cómo lo haces?
#52 ¿Fuera de casa?
Hum, si son temas de trabajo tenemos varias opciones:
Lo gestiona el que esté en su horario laboral y tiene acceso físico al almacén de claves.
Si no es un tema crítico, se usan contraseñas largas, personales, con múltiples factores de autenticación/autorización y no sólo contraseñas.
Si es para cosas personales, las más frecuentes me sé la contraseña de memoria,hasta que me toca cambiarla. Entonces tengo que usarla unas veces hasta volverla a memorizar.
Si fallo, pues a resetear la contraseña de ese servicio online si se puede o no se accede.
Seguridad y usabilidad son bastante antagónicos en la práctica.
Pd: No todas las nubes son públicas.
#52 “1234”
Mucho más seguro y sencillo de usar que esas moderneces del cloud
#52 no entras
#3 yo me seguiría riendo si me lo dijeras hoy. Salvo la contraseña del banco y del gmail las demás me dan igual así que utilizo LastPass ya no para guardarlas sino para generarlas. Es decir, yo no me sé la contraseña de mi propio Facebook, solo tengo que recordar la de LastPass y le puedo loguear desde cualquier dispositivo. Que me hackean? Me voy a LastPass y ellos me regeneran un nuevo password súper seguro.
El sistema que tu propones es terrible porque pierdes acceso al único sitio donde están tus claves locales y lo pierdes todo. Además que sólo lo puedes usar en ese ordenador, que haces con el móvil?
#82 ¿por qué crees que no usar un servicio SaaS y montar uno local no tendrías redundancia y alta disponibilidad?
¿Por qué crees que siempre hace falta móvil?
No hay nada infalible, ni un gestor de claves online.
A mi no me parece mal que uses Lastpass, de hecho su arquitectura está muy bien pensada según mis conocimientos, que no son los de un analista de seguridad, pero tampoco los de un usuario básico.
Como todo, depende de las necesidades de cada uno.
Simplemente no tengo por costumbre reírme de los demás y sí diseñar sistemas que cumplan lo mejor posible las necesidades de las personas que los requieren.
#90 has dicho en local. Un servicio saas ya no es local. Te vas a dar una paliza para montar un Lastpass casero cutre y mucho menos seguro? Pues usa lastpass y ya está. No vas a diseñar nada mejor por tu cuenta
#82 Lo mismo pero con otro gestor. Solo me conozco un par de contraseñas, el resto, generadas como bien dices con el sistema del gestor y eso si, cada cierto tiempo una copia en un dispositivo externo por si alguna vez tengo un accidente y alguien necesita acceder
#3 Yo te puedo argumentar que lo más seguro sigue siendo el post-it. Además tiene utilidad para tu sefes queridos si te mueres.
#2 Lo mejor es mantener todas las contraseñas en la cabeza, como $DEITY manda. Después de todo ¿cuantas contraseñas puedes tener? ¿una? ¿cinco? ¿veinte? ¿cien?
#2 Sin que nadie se moleste, pero dejarles tus contraseñas a alguna empresa u organización...
Y yo siempre confío en 123461, la genialidad está en poner mi año de nacimiento al final
#23 la mejor contraseña es: infalible
Porque, bueno su propio nombre lo indica.
#23 Uf... Pues imaginate dejarles tus ahorros o correo personal.
#2 Hace años que utilizo un Excel en el que introduciendo una cifra concreta en una determinada celda me muestra todas mis contraseñas. Así de fácil y así de seguro. Nada en manos de terceros.
#66 Entiendo que si introduces una cifra incorrecta te muestra todas las contraseñas pero con contenido incorrecto. ¿es así?
Yo decidí montarme una web de consulta en el S3, el cual permite almacenar webs estáticas, así que monté una web estática que contiene los números que me interesa ver y pide un PIN de 4 dígitos para desbloquearlos, eso lo hace en el navegador.
Como cualquiera podría leer el código fuente de esa web y ver cual es el PIN correcto lo que hice es que todos los PIN funcionan, pero los datos que muestra son distintos según el PIN que introduzcas, de forma que si pones el PIN incorrecto recibes un resultado que aún pareciendo real no lo es. Mientras que si conoces el PIN correcto los datos que te muestra sí son reales.
Lo que hago es que el servidor que es el que hace la publicación de esa web estática aplica una fórmula a las cifras usando el PIN correcto de forma que cuando das el PIN correcto a la web estática esas cifras revierten a su valor original, si das un PIN erróneo "revierten" a información errónea.
No hay forma de verificar cuales son las cifras correctas, no puedes introducirlas en otra web y que te diga si es correcta o no, por lo que de esa forma es resistente a los ataques de fuerza bruta.
#68 Si, es así. Si la cifra introducida es incorrecta las contraseñas mostradas también lo son.
#69 De todas formas en tu caso la "cifra" sí debería ser larga o compleja ya que en tu caso el atacante sí puede verificar si la contraseña que ha recibido es correcta o incorrecta intentando entrar en el sitio del cual es esa contraseña. Aunque tenga intentos limitados le basta un intento para descartar la cifra que ha usado, podría ir rotando de sitios e ir probando hasta encontrar la cifra correcta por fuerza bruta y luego tendría todas las contraseñas.
Pero como siempre la seguridad debe ir de la mano de la usabilidad, y ese sistema que usas para el nivel de seguridad al que aspiras puede ser perfectamente aceptable.
#73 Las contraseñas son para uso personal., el archivo Excel tiene un nombre vulgar y está mezclado entre miles de archivos, por lo que el posible atacante no puede saber que sirve para gestionar contraseñas. De hecho, por pura comodidad, la cifra a introducir es de tan sólo 2 dígitos que se han de teclear en una celda concreta de las miles que tiene Excel.
#77 Lo de la ubicación de la celda dudo que aporte mayor seguridad ya que seguro que el excel se puede exportar de tal forma que se vea el contenido de las celdas y cuales están referenciadas por otras celdas o código. Sería más seguro si todas las celdas generasen contenido pero solo una de ellas ofreciera el correcto, por ejemplo.
En todo caso la seguridad es algo que siempre debe contraponerse a la usabilidad y debe estar adaptada a los riesgos y consecuencias de ello. Siendo consciente del nivel de seguridad que tienes y de lo que estás protegiendo y de los potenciales atacantes el nivel de seguridad óptimo es aquel con el que te sientas cómodo.
#68 bonita forma, entiendo que solo calcula las contraseñas ¿No?, Las web o la indicación de qué abre cada contraseña ¿Lo tienes también oculto?
#94 Las cifras están modificadas en el servidor que genera esa web usando el PIN correcto, si la cifra es 3.000 y el PIN es 1234 la cifra que muestra es ( 3.702.000 / PIN ) (ejemplo simplificado)
De forma que si pones el PIN 1234 te muestra 3.000 y si pones el PIN 6789 te muestra 545,29. De forma que todos los PIN muestran información pero solo uno la correcta.
El servidor sí necesita el PIN correcto para generar la página web pero el servidor web (Amazon S3) puede mostrar una página estática que se ejecuta en el ordenador del cliente.
#96 Ingenioso, mis felicidades
#68 a ver si lo he entendido bien. Has hecho una web S3 abierta al público con tus contraseñas?
Que vale, están encriptadas. Pero no dejan de ser tus contraseñas.
#99 No, no son contraseñas. Es información económica, números.
El potencial atacante no tiene forma de conocer cuales son las cifras reales, no tiene donde contrastarlas con la realidad. Por lo que todos los PIN son "buenos", solo uno muestra la información correcta.
Si fuera una contraseña y el atacante conociera el sitio podría comprobarla y al darle error de login seguir con el siguiente PIN haciendo un ataque de fuerza bruta. Si solo fuera un servicio web tendría pocas posiblidades de conseguirlo antes de que bloqueasen la cuenta por intentos erróneos, pero si fuera una lista larga de sitios habría margen para ir alternando.
En mi caso la información son números que no se pueden comprobar, tiene valor para mí conocerlos pero para el atacante difícilmente tendría valor ni que supiera el PIN correcto, y no tiene forma de saber cual es el correcto.
#68 Hombre, en 10000 pruebas como máximo lo petan. Verificar si el resultado obtenido es correcto es tan sencillo como usar la contraseña qur devolvió tu servicio... Eso es un maximo de 20000 accesos que para una máquina es nada.
#68 no hay nada que suene tan mal como crear tu propia criptografía.
#66 efectivamente, así de seguro
#66 es una buena forma, yo fui más basto y tengo la Excel comprimida con una contraseña.
No soy erudito en el tema así que quizás no sea tan seguro mi método.
#2 pues depende de la contraseña que quieras guardar (qué sitios, impacto, etc)
Y de los métodos de 2fa que uses también.
No todo es blanco o negro. Como te dicen por aquí también, depende del análisis de riesgos que hagas
#2 Recomendación absurda. Siempre es mejor usar gestor que no usarlo, y sólo uno online te permite sincronizar tus contraseñas en todos tus dispositivos.
#2 Mientras la contraseña maestra sea fuerte no hay problema. Es mucho mejor usar un gestor de contraseñas online a tenerlas escritas en algún papel o usar siempre la misma contraseña, que es lo que hace la mayoría de los usuarios.
#2 Totalmente. Llevo unos años usando KeepassXC con la base de datos sincronizada a través de Google drive. Antes de que alquien se tire de los pelos por tener la db en los servidores de Google, he de decir que además de un password complejo, también uso un key file. El key file no lo sincronizo, lo copio manualmente a cada dispositivo desde el que quiero acceder a la db (smartphone, portátil, PC de escritorio etc). Además, uso MFA en la medida de lo posible.
Total, para no aburrir, he pensando más de una vez, (para evitar el "engorro" de mi setup actual) el pasarme a BitWarden, una solución SaaS y open source de gestión de contraseñas: Me he leído el código de arriba a abajo, la implementación del cifrado que hacen etc y aún así, la paranoia me ha hecho no dar nunca el paso. Noticias como esta confirman que lo más sensato es no confiar en terceros para algo tan delicado. Tengo mi vida entera en Keepass (acceso a bancos, páginas del gobierno, redes sociales etc). Me hackean y me arruinan la vida.
(Sí, podría usar BitWarden self hosted, pero eso es un poco más "engorro" que mi setup actual)
La empresa recomienda a sus usuarios cambiar las contraseñas de todos los sitios web en los que se utilizaba el servicio.
No, no hace eso.
Básicamente dicen que si para acceder a LastPass usas una contraseña segura los datos siguen protegidos al estar cifrados con AES de 256-bit, pero que si usabas una contraseña de mierda para acceder a LastPass, que es en lo que se deben haber sentido aludidos los de Xataka, entonces mejor que sí que cambies contraseñas.
Lo explican así:
As a reminder, LastPass’ default master password settings and best practices include the following:
- Since 2018, we have required a twelve-character minimum for master passwords. This greatly minimizes the ability for successful brute force password guessing.
- To further increase the security of your master password, LastPass utilizes a stronger-than-typical implementation of 100,100 iterations of the Password-Based Key Derivation Function (PBKDF2), a password-strengthening algorithm that makes it difficult to guess your master password. You can check the current number of PBKDF2 iterations for your LastPass account here.
- We also recommend that you never reuse your master password on other websites. If you reuse your master password and that password was ever compromised, a threat actor may use dumps of compromised credentials that are already available on the Internet to attempt to access your account (this is referred to as a “credential stuffing” attack).
If you use the default settings above, it would take millions of years to guess your master password using generally-available password-cracking technology. Your sensitive vault data, such as usernames and passwords, secure notes, attachments, and form-fill fields, remain safely encrypted based on LastPass’ Zero Knowledge architecture. There are no recommended actions that you need to take at this time.
However, it is important to note that if your master password does not make use of the defaults above, then it would significantly reduce the number of attempts needed to guess it correctly. In this case, as an extra security measure, you should consider minimizing risk by changing passwords of websites you have stored.
Fuente: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
#7 Exacto, la clave es el último párrafo.
El problema es... ¿quien pone una contraseña así como contraseña maestra que NO PUEDE ALMACENAR en ningún sitio?
Porque esa contraseña para entrar en Lastpass... no la puede guardar en Lastpass, como comento en mi otro comentario #8
¿La pone en un post it? ¿La escribe en su cuaderno? ¿Se la memoriza? Un humano dificilmente es capaz de memorizar una contraseña así.
¿Donde guarda de forma segura una contraseña maestra?
Ya veremos cuantos usuarios son capaces de poner una contraseña maestra así, que no sea susceptible a ataques de diccionario, o basados en combinación de palabras usadas.
Sí, la contraseña de meneame te la puede autogenerar Lastpass con 800 caracteres aleatorios generados por un sistema criptograficamente seguro. Pero la contraseña maestra no De hecho es más que posible que las contraseñas maestras sean mucho más inseguras que las propias contraseñas guardadas!
Así que... sí, es cierto lo que has puesto, no dicen eso, pero... a buen entendedor...
#11 ¿quien pone una contraseña así como contraseña maestra que NO PUEDE ALMACENAR en ningún sitio?
Cualquiera que entienda mínimamente qué es LastPass y cómo funciona.
Los de Xataka claramente no, yo no voy a cambiar ninguna contraseña porque alguien tenga un archivo AES-256 cifrado con mi clave. Lo podría subir a Pirate Bay tranquilamente que no pasa nada.
Pero la contraseña maestra no De hecho es más que posible que las contraseñas maestras sean mucho más inseguras que las propias contraseñas guardadas!
Posiblemente sean más inseguras, sí, pero no es eso lo relevante. Lo relevante es si son suficientemente seguras para sobrevivir a un ataque de fuerza bruta con cifrado AES-256 con esa clave. Lo prudente es que lo sea y presuponer que no lo es para todos los usuarios, como ha hecho Xataka y tú vas por el mismo camino, es una absoluta mamarrachada.
Afirmar que "la empresa recomienda a sus usuarios cambiar las contraseñas de todos los sitios web en los que se utilizaba el servicio" es directamente mentira.
#14 Primero, rotar las contraseñas periodicamente es algo BASICO de cualquier protocolo de seguridad. Y eso como medida "normal". En caso de incidentes de seguridad, es extremadamente recomendable (por no decir obligatorio "just in case"). Que tú vayas de prepotente y digas que no lo es, ya denota mucha ignorancia en el tema.
Segundo, la capacidad de cálculo se multiplica con el tiempo. Lo que ayer era seguro, mañana no lo es. ¿Has vivido la epoca donde decían que un hash MD5 era practicamente imposible de crackear? ¿Que harían falta miles de años? Yo sí. Y a dia de hoy ya se considera roto (es decir muy fácil lograr colisiones). No han pasado muchos años entre que "era imposible de crackear" y "MD5 no es seguro".
Actualmente, con una granja de tarjetas gráficas potentes puedes reventar contraseñas muy fácilmente. 8 gráficas 4090 revientan en menos de 1 hora una contraseña de 8 caracteres. Hace unos pocos años eso era IMPENSABLE. Auténtica ciencia ficción. "Un password de 8 caracteres necesita miles de años para romperse". Ajá.
Una granja de graficas así (no se... ¿quien podría tenerla? ¿Quizás unos mineros que no sepan que hacer con sus gráficas ahora que ETH va por PoS?) no necesitaría millones de años para reventar una contraseña de 12 caracteres. Lo podría hacer en un plazo más que suficiente desde el punto de vista humano. Y seguramente dentro de unos años habrá más capacidad de cálculo para acortar ese tiempo aún más.
LastPass está manejando esto de la mejor manera que pueda para no dar (aún más) mala imagen, así que no va a recomendar "cambiar las contraseñas masivamente" de primeras. Pero si suelta el "como medida de seguridad adicional deberías considerar cambiarlas".
Si no quieres hacerlo, allá tú. Pero no critiques a los que "por si acaso" recomiendan hacerlo. No está de más.
#15 Curioso porque Microsoft ha dejado de recomendar el rotar las contraseñas desde hace tiempo: https://duo.com/decipher/microsoft-will-no-longer-recommend-forcing-periodic-password-changes
Microsoft dropped the password-expiration policy in the latest draft version of the security configuration baseline settings for Windows 10 (v1903) and Windows Server (v1903), calling the practice “an ancient and obsolete mitigation of very low value.” According to the draft document, Microsoft will no longer recommend that accounts controlled by the network’s group policy have a policy to require users to change their passwords periodically. Microsoft is finally telling Windows administrators there are better ways to protect systems and networks than forcing users to pick new passwords every few weeks or months.
#18 Aún así sigue siendo una recomendación habitual. El problema es que en la mente del responsable de seguridad, los usuarios son capaces de crear y memorizar contraseñas largas aleatorias, y cambiarlas cada 2 semanas.
En la vida real el 90% de usuarios usan la misma terminada por 1, luego cuando le piden cambiar ponen 2, luego 3, etc. Cuando llegan al 10, vuelven a probar por 1 a ver si le deja, y sino pues 11, 12, 13...
Así que sí, la recomendación pierde sentido porque no hace más segura la contraseña y encima es un absoluto coñazo para el usuario
Pero vamos que rotarlas, y más en caso de una brecha de seguridad, no es una mala práctica. Tener una contraseña por 20 años (por decir algo)... no da buena espina
#26 Bueno, si tenemos en cuenta la cantidad de tiempo que se necesitaría para descifrar esas contraseñas por fuerza bruta con un contraseña maestra en condiciones yo diría que con rotar las contraseñas cada 100 años debería ser suficiente.
#26 Estoy trabajando en una aplicación que exige login. Cuando caduca el password, al mes, tiene que entrar una nueva. En ese momento, procedo a calcular la similitud de la contraseña con todas las otras que haya entrado en cualquier periodo --mes --. Si el grado de similitud es superior al 30%, le fuerzo a introducir otras. También debe contener símbolos especiales. Ah, y admite hasta 64 caracteres.
Coda: Las claves se guardan encriptadas, es el código quien encripta y desencripta.*
#39 Uff...
Espero que sea una app para gestionar el historial clinico. Como jode que la app de Burger King me pida nueva pass cada mes, cuando me daria igual que me la hackearan y solo quiero un acceso facil.
#39 Enhorabuena. Va a tener un montón de usuarios cabreadísimos con usted.
#39 En mi opinión te estás excediendo. Además es muy poco usable cambiar de contraseña cada mes
¿Y lista negra de passwords más utilizados no usas? Yo me bajé una de varios megas y con eso facilitas que no pongan contraseñas chorras .
Te falta el mínimo de caracteres 😋
#48 Buena idea, no lo había considerado. Gracias por la sugerencia.
#39 Me parece excesivo a todas luces.
Yo dejaría de usar tu aplicación.
#39 ¿Y por qué la limitas a 64 caracteres?
#39 Como mides el grado de similitud solo con el hash de esta? No estarás guardando la contraseña del usuario en raw y/o tendrás métodos para sacarla, no?
#39 Esto se hizo en mi empresa un tiempo. Se dejó de hacer porque todo el mundo terminó escribiendo "la contraseña del mes" en post-its, libretas, papeles, etc. que estaban a la vista de todo el mundo. Aparte del cabreo de todo el personal con el tema, claro.
#39 Con todo el cariño, eso es un desproposito y por eso Microsoft, Google y otras de las grandes compañías lo han desaconsejado. En lla empresa en la que estoy ahora, o te envían un SMS si es la primera vez que te conectas desde ese terminal o usan MS authentificator, pero nadie cambia las contraseñas. La razón: el olvido de las contraseñas. Cuando llevas 10 cambios empiezas a confundir o cuando vienes de vacaciones.
Hace un par de noches fui a cenar con amigo que me dijo que durante las vacaciones (es el responsable de IT) se revisaba las mesas de los usuarios y se llevaba los post-it "sospechosos". A la vuelta de vacaciones había una avalancha de gente que había olvidado la contraseña y le pedia un reset de su cuenta.
En otras comañías lo que hacen es verificar el dispositivo desde el que te conectas. Es el tuyo de siempre, la contraseña es válida. Si no, tienes que pasar un proceso para meterlo como uno de tus dispositivos seguros. Y le suma que controla desde donde te conectas. Estas en España, sin problema. La IP de conexión es desde otro pais? No te deja acceder y tienes que llamar a IT para que te desbloqueen la cuenta. Todos ellos son métodos que no molestan al usuario pero que le protegen igual.
#39 odio las aplicaciones que fallan porque requieren menos de 16 caracteres...
#26 yo tuve durante 10 años una palabra de diccionario para entrar en Menéame
#15 Por la forma que respondes no me extrañaría que fueras quien ha escrito el artículo de Xataka y se ha inventado su contenido.
rotar las contraseñas periodicamente es algo BASICO de cualquier protocolo de seguridad.
Pues lo recomiendas tú en tu nombre, no digas que LastPass "recomienda a sus usuarios cambiar las contraseñas de todos los sitios web en los que se utilizaba el servicio", porque eso es mentira. Y LastPass sí conoce como funciona su seguridad, a diferencia de ti viendo tus comentarios.
la capacidad de cálculo se multiplica con el tiempo. Lo que ayer era seguro, mañana no lo es.
Pues no uses ninguna contraseña si mañana ya ninguna no es segura. La realidad es muy distinta, un AES-256 con una contraseña fuerte no lo rompes mañana.
Una granja de graficas así (no se... ¿quien podría tenerla? ¿Quizás unos mineros que no sepan que hacer con sus gráficas ahora que ETH va por PoS?) no necesitaría millones de años para reventar una contraseña de 12 caracteres.
Es que no es "una contraseña de 12 carácteres", es una contraseña de 12 carácteres en un contenedor cifrado en AES-256 con 100.100 iteraciones de cifrado, es decir, para cada "intento" tienes que hacer esas 100.100 iteraciones sobre un contenedor AES-256. No sabes como funciona LastPass, a pesar que te lo explican en la entrada del blog que he citado a partir de la que supuestamente Xataka ha decidido decir sus mentiras.
Lo podría hacer en un plazo más que suficiente desde el punto de vista humano.
Deberían poner tus cojones en un museo, son más potentes que cualquier superordenador del mundo.
LastPass está manejando esto de la mejor manera que pueda para no dar (aún más) mala imagen
Lo hace explicando la tecnología, como ya hizo antes del ataque, y que claramente no comprendes.
así que no va a recomendar "cambiar las contraseñas masivamente" de primeras.
Y tú no tienes reparo en mentirnos sobre ello en la entradilla. Muy bien campeón.
Pero si suelta el "como medida de seguridad adicional deberías considerar cambiarlas".
No, no lo hace. Dice que si tienes una contraseña de mierda entonces la bóveda no es segura, pero que si tienes una contraseña que sigue las recomendaciones mínimas de seguridad la bóveda sigue estando segura. La medida de seguridad adicional es leer lo que dicen y no inventárselo.
Pero no critiques a los que "por si acaso" recomiendan hacerlo.
Critico a quienes mienten poniendo esas palabras en boca de la gente de LastPass, es decir, critico a Xataka y te critico a ti (si es que no sois ambos el mismo). Voy a votar bulo el meneo porque mira que has tenido oportunidades de corregir y sigues insistiendo en mentir sobre lo que dice LastPass.
#22 Fe de erratas: No es Xataka quien ha distribuido el bulo sino tú con tu elección en la entradilla. Esto es lo que dice Xataka al respecto:
A partir de 2018, LastPass elevó sus requisitos para establecer contraseñas maestras, pero antes de ese cambio, los usuarios tenían la posibilidad de crear contraseñas más débiles. Si ese es el caso, la compañía recomienda cambiar las contraseñas de todos los sitios web en los que se utilizaba el servicio, aunque no sería mala opción también cambiar la contraseña maestra.
Se refieren a si el usuario usaba una contraseña débil, no a todos los usuarios como aparenta indicar la entradilla que contiene el bulo.
c/c #15
#27 Vota lo que quieras. Por mi parte no pienso perder más el tiempo contigo ni con tus formas.
#_31 Vota lo que quieras. Por mi parte no pienso perder más el tiempo contigo ni con tus formas.
Dices eso justo después de modificar1 la entradilla que contenía el bulo tal como yo te criticaba y que es el motivo por el que voté así.
Lo dicho, tus cojones deberían estar en un museo.
Versión original de la entradilla:
La empresa recomienda a sus usuarios cambiar las contraseñas de todos los sitios web en los que se utilizaba el servicio.
Versión tras tu edición hace nada:
La empresa recomienda a sus usuarios cambiar las contraseñas de todos los sitios web en los que se utilizaba el servicio si no siguen las recomendaciones de seguridad para elegir su clave maestra.
1 lastpass-confirma-bovedas-contrasenas-usuarios-han-sido-robadas/log
LastPass confirma que las bóvedas con contraseñas ...
xataka.comNota: Este comentario es para responder a @ Andres_age que por lo visto me tiene en su lista negra de ignorados. Por alguna razón que se me escapa los@admin de
#32 Sí, lo he editado para que aparezca bien claro, ¿no era eso lo que querías?
#_34 Sí, lo he editado para que aparezca bien claro, ¿no era eso lo que querías?
meneame han decidido que si alguien te pone en su lista negra ya no puedes citarle en respuesta a sus comentarios públicos, dificultando así el uso de herramientas de menéame como es el ver los comentarios en forma de hilo de discusión. Me pongo también en copia en #32 a ver si ayuda en el anidado.
En vez de reconocerlo abiertamente y quizá incluso disculparte por ello lo modificas sin decir nada y respondes como si lo que yo te explicaba fuera una "pérdida de tiempo".
Si no me fijo y dejo constancia de ello alguien podría pensar que la entradilla ha estado todo el tiempo bien y que lo que yo defendía estaba fuera de lugar. No parece muy respetuoso por tu parte, como lo que estás haciendo ahora de abusar de la herramienta de "ignorar" quitándome para responderme y volviéndome a poner para dificultar la lectura de cualquier respuesta que recibas.
Nota: Este comentario es para responder a @ Andres_age que por lo visto me tiene en su lista negra de ignorados. Por alguna razón que se me escapa los@admin de
#15 Rotar passwords es una obligación de los gestores de seguridad que imponen a todo el mundo porque es fácil de implementar y así se cubren el culo en casos imaginarios.
En una organización donde hay gente que se va, el rotar los passwords puede tener sentido para que los passwords que el ex miembro se sabía no le sirvan ya para nada.
Pero fuera de tal caso no añade más seguridad. No sirve para nada desde el punto de vista de la seguridad de ese password. Un password que usas tú y solo tú en tu propio PC, o incluso para un servicio online, es tan seguro si tiene tres dias como tres años.
#15 ¿hay algún método para rotar las contraseñas que no sea ir a cada web manualmente y pedir un cambio de contraseña? Si tuviera que hacerlo así me puedo pegar horas y horas, incluso dejando que sea el gestor el que las genere para acelerar el proceso.
Personalmente uso una contraseña maestra generada aleatoriamente de "solo" 9 caracteres a la que concateno un par de palabras que no tienen ningún significado especial con símbolos especiales en medio.
Reconozco que durante semanas tuve en un papel la parte aleatoria hasta que de tanto escribirla la memoricé, pero en general creo que es un método seguro porque la contraseña nunca estuvo completa escrita "en claro"
#15 Quien tenga suficiente poténcia de cálculo para intentar descubrir tu contraseña dudo que lo haga aleatoriamente o en todo caso atacará las sencillas. Si tienes un password de 12 caracteres con mayúsuculas y minúsculas + caracteres especiales + números sigue siendo muy complicado y le costará tiempo (coste de oportunidad) y energía, luego si ya tenías una contraseña segura, sin problemas. No van a por ti a menos que seas un VIP y les compense el coste. Ahora si tienes contraseñas de las sencillas o todo números estás en un serio riesgo. Menos de 9 caracteres (letras, numeros, mayúsculas y símbolos) es muy arriesgado, es mas, con 6 te la abren casi al momento. Si la quieres sencilla, metes una frase del tipo "A mi abuela le gusta la fabada picante" y ya está, romper esa por fuerza bruta les costará lo suyo.
Que en 10 años tienen ordenadores cuánticos que pueden abrirla, tampoco importa. Si fuera un presidente de gobierno, pues vale, pero si no, es impensable que por ninguno de nosotros se tomen tantas molestias
#11 A ver, una contraseña maestra segura y fácil de recordar:
¡MiContraseñaEsSegura!1979
No es muy difícil ¿no?
#17 ¿Sabes que hay ataques por fuerza bruta que no van probando todos los caracteres posibles, sino que juntan palabras, frases, fechas, etc y variaciones de estas, y consiguen romper contraseñas muy largas en poquísimo tiempo?
#19 Si sabes el esquema de la contraseña son útiles. Si no lo conoces, no. Y si en vez de utilizar una contraseña como he puesto utilizas algo así:
¡MiKontraseñaEsSejura!1979
Y lo de poquísimo tiempo te lo has sacado de la manga. Ahora, si quieres te subo un archivo cifrado con una contraseña generada con el estilo que he propuesto y lo descifras tú en poquísimo tiempo, a ver qué tal.
#25 Por supuesto si vas añadiendo cambios así es cierto que complicas un ataque. Pero también hay riesgo de que se te olvide esa variación con dramáticas consecuencias.
No digo que tu sistema sea malo, ni mucho menos. De hecho posiblemente sea el mejor a nivel práctico. Pero ningún sistema es perfecto y hay que encontrar un equilibrio entre seguridad y facilidad de uso por parte del usuario. Si el usuario pone una contraseña "difícil" pero que sea capaz de recordar, ya está bien.
Pero por desgracia la mayor parte de usuarios ponen contraseñas debiles. Es un hecho. Porque son cortas o porque juntan unas pocas palabras muy fáciles de romper (2 o 3 palabras y una fecha por ejemplo). No lo digo yo, lo dice cualquier estudio de seguridad. Y si miras el "listado" de contraseñas más usadas... da auténtica pena.
#29 Si esos listados parten de contraseñas robadas o las dan los propios usuarios, no son las contraseñas más usadas, son las peores contraseñas usadas.
Lo que me parece claro es que lo de las contraseñas se nos ha ido de las manos y se está poniendo el problema en la parte del usuario.
Entiendo que el foro, la web de noticias o el servicio de streaming pongan el énfasis en culpabilizar al usuario de los errores de identificación o la ruptura de claves.
Pero también hay que ser exigentes con quienes se supone que son expertos en seguridad. La noticia de la que estamos hablando debería empezar y terminar con una recomendación: cerrar la cuenta del servicio del que se habla. Han demostrado que su propia seguridad era insuficiente. Menos recomendaciones de cambio de contraseñas, menos recomendaciones de como generar una contraseña segura, es a ellos a quienes les han robado las contraseñas, no a los usuarios. El error de los usuarios ha sido confiar en esa empresa.
#51 No digamos tonterías llevados por el alarmismo. Si la empresa era segura o no lo dirán los pentest y recursos que destinen a seguridad, no si han sido objetivo de alguna organización criminal.
TODO SISTEMA INFORMÁTICO ES INSEGURO POR DEFINICIÓN.
No hay seguridad posible contra gente que compra 0 days. Lo importante en este caso es que estuviesen bien seguros de que las bóvedas sean irrompibles.
#72 Eso, no digamos tonterías. A una empresa dedicada a la seguridad de claves les han robado las claves. No era segura y ya está.
Podemos discutir si lo que han echo con esta empresa supone un enfoque nuevo, si han llegado los ordenadores cuánticos o si ha sido una revelación divina. Lo que sí toca la moral es ponerse a hablar de lo malas que son las contraseñas de los usuarios cuando a quien han robado es a quienes tenían que guardarlas, y no han roto la contraseña del inútil del usuario, si no del "pofecional".
#78 LastPass se diseñó contemplando la posibilidad de este mismo escenario que se ha dado, se diseñó para que aunque la propia empresa fuera víctima de un ataque tanto interno como externo las contraseñas de los usuarios siguieran protegidas.
Lo que han robado es lo que desde el primer día se asumió que podía ser robado sin que supusiera un riesgo significativo de seguridad.
Nunca se propusieron como la empresa que nunca podrá ser hackeada, no era ese su argumento para su producto, sino que la bóveda era tan segura que ni ellos podrían recuperar los datos sin la contraseña del usuario, y cuando dicen ni ellos dicen ni ellos ni nadie.
Y ahí estamos, en que ni ellos ni nadie, tampoco el atacante, puede acceder al contenido de la bóveda sin la contraseña del usuario. Si ésta cumple las recomendaciones de seguridad el contenido sigue siendo seguro.
La seguridad es eso, valorar los potenciales riesgos, valorar los ataques que son realistas y de los que te puedes defender, y diseñar una estrategia en la que si se dan los supuestos realistas la seguridad siga en pie. Y es lo que ha ocurrido.
#80 Ya sé que el que un admin no pueda ver la contraseña es muy viejo. Perder datos si se pierde la contraseña lo advierte hasta Mega.
Lo que no me cuadra es que alguien se dedique a robar algo que sabe que no le sirve para nada cuando hay un montón de sitios donde lo que robe sí le servirá.
Tampoco me cuadra la lógica de que sí pueda ser hackeada, aunque se pusieran los mejores medios disponibles para evitarlo, porque todo puede ser hackeado y también se diga que lo que han robado no puede ser accedido. Los ladrones tienen algo que ni la empresa ni los usuarios querían que tuviera y podemos afirmar que la probabilidad de que antes o después tengan acceso al contenido es casi de 1.
#89 Lo que no me cuadra es que alguien se dedique a robar algo que sabe que no le sirve para nada cuando hay un montón de sitios donde lo que robe sí le servirá.
Para eso tendrías que hablar con el atacante, LastPass no pinta nada en esa decisión.
Tampoco me cuadra la lógica de que sí pueda ser hackeada, aunque se pusieran los mejores medios disponibles para evitarlo
Es la realidad en la que vivimos y que LastPass conocía y se protegió para el supuesto que ocurriera, lo hizo con el diseño de las bóvedas que han seguido siendo tan seguras como se diseñaron para serlo.
y también se diga que lo que han robado no puede ser accedido
Los atacantes pueden acceder a las bóvedas cifradas, lo que no pueden es descifrarlas si la contraseña del usuario cumplía las recomendaciones de seguridad.
Los ladrones tienen algo que ni la empresa ni los usuarios querían que tuviera
La empresa, LastPass, contempló el riesgo que el atacante lo tuviera y diseñaron la seguridad para que eso no supusiera un problema de seguridad.
y podemos afirmar que la probabilidad de que antes o después tengan acceso al contenido es casi de 1.
Si ese "después" incluye el tiempo de vida del Universo pues posiblemente tengas razón, si ese "después" se refiere a un plazo de tiempo en el que ya no tiene interés alguna esa información contenida en esos archivos por ahora la probabilidad es casi de 0.
#78 No les han robado las claves. Han robado GB y GB de datos que no se pueden desencriptar.
No te líes con lo cuántico que eso solo rompe RSA y no tiene nada que ver con este tema.
Ellos no venden seguridad informática. Hay otras empresas para ello y ni esas empresas están protegidas ante 0Day.
Estos venden contenedores seguros de claves y una infraestructura para que no sea un engorro usarlo.
Diferente hubiese sido que se hubiese descubierto un backdoor en las bóvedas. No es lo que ha pasado. Las claves guardadas ahí siguen siendo seguras.
#19 Sigue siendo inviable romper passwords de frases, mucho menos los de todas las cuentas. Los algoritmos son seguros por algo. Tampoco olvidemos la sal, que tampoco han dicho si la tienen o no.
La psicosis siempre puedes tenerla. Pero está claro que la gente que utiliza esos servicios está muchísimo más segura que la que no usa gestor o que la que confía en la seguridad de su lan casera.
#11 no la puede memorizar? Te pongo una entre comillas comillas incluidas "¿Abogado? El que tengo aquí Colgado. ¿Has visto a Fernando? El de lo huevos Colgando **2".
Son contraseñas complejas y largas, no tiene por qué ser un churro sin sentido, y eso dudo que sirva para ataques de diccionario.
Al final también resulta que tener una contraseña compleja no sirve de nada por que hay algún agujero de seguridad que se lo salta todo y te entran igual
#11 Una frase es una contraseña larga.
Esas bóvedas no se pueden petar por fuerza bruta. Se necesitaría más tiempo del que tiene nuestro universo utilizando toda la potencia de cálculo existente en la tierra.
Solo petar una de esas bóvedas es inviable. Imagínate petar los millones de bóvedas que tienen.
#11 es una chorrada que un humano no pueda memorizar una contraseña así. Simplemente la gente no quiere pero eso de no puede es mentira.
#7 LastPass utilizes a stronger-than-typical implementation
Aún sacarán pecho los malditos. Si ni siquiera tenían cifradas las url
#45 LastPass se integra con el navegador para rellenar campos automáticamente y entiendo que tener las url no cifradas responde a que esa utilidad sea funcional sin tener que tener todo el tiempo la bóveda descifrada, para que LastPass pueda indicar al usuario si de esa url tiene almacenada una contraseña o no y pedirle luego la contraseña de la bóveda para rellenar el campo.
No es un "ni siquiera" sino que eso es claramente una decisión tomada deliberadamente para dar usabilidad asumiendo los riesgos que esa usabilidad implica.
#63 Las podría descifrar antes de enviarlas.
O es por vagos o por ahorrarse dinero. Desencriptar las URL cada vez que alguien hace login tiene su coste, y no será pequeño con todo el mundo que usa el servicio.
En mi opinión no es excusa, deberían invertir dinero en hardware, si ese es el problema, para aumentar la seguridad.
#81 Las podría descifrar antes de enviarlas.
Para descifrarlas necesitas la clave, en este caso la clave del usuario, y por lo tanto necesitas que la bóveda esté siempre abierta en el equipo del usuario, lo cual es un riesgo de seguridad mucho mayor a que el atacante pueda ver esas urls.
Es una decisión de seguridad contrapuesta a usabilidad, decidieron que lo importante a proteger no eran las url sino las contraseñas y que para proteger las contraseñas lo más seguro es que las urls no estuvieran dentro de la bóveda para no tener que abrirla para cada consulta.
Es que no necesitan excusarse para nada, es una decisión perfectamente lógica y razonable. Necesitan en todo caso explicarse mejor o difundir más sus explicaciones para que más gente les entienda.
#84 No veo por qué debe estar abierta la bóveda.
La información puede estar cifrada en la base de datos de onepass o sin cifrar. Si está cifrada se puede enviar descifrada
Para el usuario es exactamente lo mismo. La diferencia es si el servidor lo descifra a cada login o no.
#88 LastPass no funciona así.
En LastPass ellos almacenan una copia de la bóveda en sus servidores y el programa cliente del usuario también tiene una copia de esa bóveda. LastPass nunca tiene su parte de la bóveda descifrada, nunca pide al usuario que la abra. Eso se hace en el programa cliente, ya sea una extensión o una web cuyo código se ejecuta en local en el ordenador del usuario.
Si el usuario no introduce su contraseña lo que hay dentro es completamente desconocido para LastPass y desconocido para el programa cliente del usuario.
Por lo tanto si el usuario accede a una web de la que hay una contraseña guardada en la bóveda ni LastPass ni el programa cliente pueden saberlo sin abrir la bóveda, para lo que hay que pedir que el usuario entre la contraseña. Si la cierran a cada acceso te estaría pidiendo la contraseña a cada acceso a una página que contenga un formulario de usuario y contraseña, a cada página te pediría la contraseña de la bóveda una y otra vez. Lo lógico ante esa molestia sería dejar la bóveda abierta todo el rato y eso supone un riesgo de seguridad.
Para mitigarlo sin perder funcionalidad las url se dejan fuera de la bóveda de forma que el programa cliente del usuario pueda saber que de esa url tiene contraseña o no la tiene y mostrarlo así al usuario, y solo pedirle la contraseña de la bóveda cuando corresponda y no continuamente, de forma que solo esté abierta cuando corresponda y no todo el rato.
Ojo que esta funcionalidad que describo no la uso así que la descripción podría ser no del todo exacta, pero sospecho que es esto lo que hace.
Qué bien esto de los gestores de contraseñas. Ahora puedes no solo que te hackeen una contraseña, sino que te hackeen todas a la vez.
#5 En el anuncio dicen que "si el usuario ha puesto una contraseña maestra siguiendo sus recomendaciones", tardarían tropecientos años en abrirlo por fuerza bruta.
Eso significa que la codificación por contraseña maestra es la última linea de defensa que tienen y que no han roto. Y es preocupante, porque es bastante probable que esa contraseña maestra no sea precisamente "dificil".
Si eres un usuario que delega en Lastpass crear contraseñas largas y seguras, no te tienes que preocupar de ellas. Pero si tienes que "recordar" la de Lastpass. Así que dificilmente va a tener 80 caracteres aleatorios imposibles de recordar para un humano. Al fin y al cabo, donde apuntarías esa contraseña? En otro gestor? En un post it?
Lo más probable es que haya una cantidad ingente de casos donde la contraseña maestra sea "fácil" de adivinar por un ataque de diccionario o combinando palabras y/o números (no el tipico ataque de fuerza bruta que prueba todas las combinaciones y es ineficiente).
Aparte que si ya lo tienen en su poder, tienen "todo el tiempo del mundo" para intentar romperlo. Da igual si tardan 1 dia, 1 semana, 1 mes... de ahí que "urjan" a cambiar las contraseñas.
Para finalizar mi dramatico hilo... las nuevas tarjetas gráficas tienen una capacidad gráfica brutal. Pero tambien de hacer otros cálculos... como ataques de fuerza bruta para reventar contraseñas. Y hay muchos mineros de criptomonedas que no saben que hacer con sus granjas de miles de tarjetas de gama alta... podrían (y seguramente lo hagan) alquilar por horas su capacidad de cálculo para fines más "oscuros"... (guiño guiño)
https://www.tomshardware.com/news/rtx-4090-password-cracking-comparison
https://www.thetechoutlook.com/news/innovation/nvidias-new-rtx-4090-graphics-card-is-capable-of-cracking-your-passwords-under-an-hour/
#8 Así que dificilmente va a tener 80 caracteres aleatorios imposibles de recordar para un humano.
La recomendación que indican no es de 80 caracteres sino de 12 caracteres y que no la estés utilizando en otras webs.
Si vas a meter todas las contraseñas en una bóveda para ahorrarte tener que memorizarlas qué menos que memorizar una única contraseña que sí sea segura. Si usas una contraseña de mierda pues luego no te quejes si eso tiene consecuencias.
Aparte que si ya lo tienen en su poder, tienen "todo el tiempo del mundo" para intentar romperlo. Da igual si tardan 1 dia, 1 semana, 1 mes... de ahí que "urjan" a cambiar las contraseñas.
No, no da igual si necesitan millones de años. Y no urgen a cambiar contraseña, eso es una invención de Xataka que deben usar contraseñas de mierda y por eso se han sentido aludidos por la parte de la nota de LastPass que se refiere a esos casos.
#10 Si usas una contraseña de mierda pues luego no te quejes si eso tiene consecuencias.
Te lo mejoro:
Si usas un gestor de contraseñas de mierda pues luego no te quejes si eso tiene consecuencias.
Y todavía mejor:
Si usas un gestor de contraseñas pues luego no te quejes si eso tiene consecuencias.
El culpable del hackeo es LastPass, no los usuarios. Si les vas a echar la culpa a los usuarios, pues echasela bien.
#62 Es lo opuesto, precisamente en su diseño inicial ya contemplaron que lo que ha pasado pudiera pasar porque son conscientes de cuales son los puntos débiles de la seguridad, y lo diseñaron de forma que aunque esto que ha ocurrido ocurriera no pusiera en riesgo el contenido principal que son las contraseñas almacenadas de forma segura.
Antes de usar LastPass me informé de cómo funcionaba y desde el primer momento ya di por sentado que el archivo cifrado podía caer en manos de terceros, consideraba a terceros incluso a los trabajadores de LastPass ya que no confío en éstos ni en nadie. Y precisamente la seguridad que aporta es que no es relevante que alguien robe ese archivo o que yo mismo lo publique en Pirate Bay si quiero, la seguridad no está en la posesión del archivo sino en el método de cifrado y la contraseña del usuario.
La seguridad no es que no pase nunca nada sino contemplar los escenarios y tomar decisiones para mitigar o erradicar el impacto de los riesgos que son realistas para proteger aquello que realmente se desea proteger.
Lo que les ha ocurrido yo ya di por sentado que podía haber ocurrido el primer día que empecé a usar esa herramienta y no cambiaba en nada mis criterios de uso.
#8 no tienen toda la eternidad para encontrarlas, tienen el tiempo que tarde el usuario en cambiarlas.
Yo creo que como mínimo hay que tener 2 contraseñas complicadas de recordar, el del correo principal(que no debe estar en la bóveda) y el del almacén de contraseñas. Los 2 protegidos con doble factor y cambiarla cada cierto tiempo, ya que luego hay algunos que lo tienen todo offline, y tienen una mierda de contraseña que no cambian del correo con en que tienen registrado la mayoria de servicios.
Hay que recordar que no hay nada seguro completamente, simplemente cosas más seguras y otras menos
#8 Alguien que se preocupa por la seguridad lo suficiente como para usar un gestor de contraseñas, lo más probable es que escoja una contraseña maestra bastante segura. No es lo mismo esforzarse en recordar una única contraseña (o, al menos, apuntarla en un papel y tenerla en un lugar seguro) que recordar cientos de ellas
#8 el John the ripper funciona muy bien en Colab
#5 La alternativa es tener una contraseña distinta para cada uno de los mil sitios donde te la piden, porque si no rota una rotas todas.
A ver cuándo sacan otro sistema más usable, huella dactilar o algo así
#20 Sistemas de ese tipo al final se basan en lo mismo, una cadena que debe coincidir con algo único guardado en el servidor. El problema de la huella digital es que solo hay una y romperla implica que la persona no podrá identificarse en ningún sitio ninguna otra vez en su vida. Yo no la utilizaría.
Me voy a arriesgar a hacer el ridículo, pero me parece más seguro algo más parecido a la tarjeta de claves pero más sencillo y fácilmente recordable, algo en plan preguntas y respuestas predefinidas. Si al registrarme subo un archivo con 100 preguntas y respuestas y el sitio me pide marcar 3 de ellas. Evidentemente esto no sirve para lo que le ha pasado a esta empresa y tiene otros inconvenientes, como que se tiene el archivo fundamental para otros sitios. Pero claro, la cuestión es que podemos culpar al usuario por sus malas prácticas, no se puede arriesgar a que se confíe en que el experto sí cumple con las buenas prácticas cuando lo ocurrido nos demuestra que no es así.
#53 la solución es usar el inicio de sesión con Google y te olvidas de poner contraseñas.
El anuncio de Lastpass:
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
Esto de subir tus passwords a la nube siempre ha sido arriesgado.
Yo os cuento mi método nublado, que podeis criticar libremente. Los elogios os los ahorrais.
Los passwords los meto en una bbdd creada por https://pwsafe.org/. Hay otros con el mismo nombre que no son lo mismo.
Un elogio de passwordsafe, totalmente neutro e independiente, escrito por su creador: https://www.schneier.com/academic/passsafe/
Lo bueno de esta app es que tiene una función de sincronización. Le das dos bbdd y te las sincroniza, con su listado de errores, etc.
Para sincronizar dos PC entre sí, lo que hago es subir la bbdd a la nube en uno, y me lo bajo de la nube en otro. Es básicamente esto, con el procedimiento adecuado y obvio, que me salto.
Pero no voy a subir el fichero tal cual. Eso sería exponerse a que lo lean. Bastaría con adivinar el password. Dad eso por leido para cualquier password que podais recordar. No, yo no hago eso.
Lo que hago es crear un disco virtual con https://www.veracrypt.fr/code/VeraCrypt/
Para poder leer eso hace falta un keyfile que tengo copiado en cada uno de los PC. Ese keyfile nunca ha pisado la nube. Nada que haga nadie a base de passwords podrá abrir ese disco virtual, pues no existe ningún password que funcione.
Lo que subo y bajo de la nube es el disco virtual.
A base de sincronizar periódicamente, los passwords viajan de un PC a otro, creando redundancia ante el fallo de un disco u otras desgracias.
Os podría contar cual es el orden aduado para hacer el "merge", pero de nuevo, eso es obvio.
Es más interesante como almacenar los passwords en 3 pendrive de forma que uno solo de ellos no puede recuperar la información pero 2 sí. Pero eso otro día. Cada pendrive está en una ubicación física distinta y además se requiere saber un password. ¿Es seguro esto? Considero que ante un atacante externo, sí.
Lo que no he logrado encontrar son cajas de acero donde meterlos donde se pueda poner un candado. Eso me mejoraría algo la seguridad contra un insider. ¿Por qué no las hay? Yo escogería el candado. El problema con todas las "cajas de dinero" o "guardallaves" que se venden con el cerrojo puesto es que abrirlas es obvio. Se pueden abrir de forma no detectable sin tener apenas ninguna habilidad (sí, todas), pero mi insider favorito tiene habilidades, de ahí que el candado sería el que yo diga.
Puedo comprar el candado, pero no la caja. Esto no es serio.
#9 Lo de la caja no lo entiendo, te vas literalmente a cualquier herrero y te fabrica la caja que quieras con las especificaciones que le digas.
#36 Ni lo habia considerado.
#9 se lo voy a explicar a mi padre para que lo haga así a partir de ahora. Primero le programo el vídeo para que se grabe el fútbol.
#9 Como accedes con el móvil a esos datos? Como rellenas un formulario de una web?
Lo que has narrado parece más una molestia que otra cosa.
#74 Es clarísimamente una molestia gorda. Lo que obtienes a cambio es la seguridad. Te ahorras el perder los datos si un disco se borra. Te ahorras lo de esta notícia. Yo veo más molestia el tener que cambiar todos tus passwords. Que cada cual mire como hacer sus cosas y si le vale la pena.
Otro dia, si quieres, hablamos de como hacer backups, que tiene su procedimiento y es una molestia. Pero obtienes el backup ahí guardado, que cuando es todo lo que tienes, es cuando más lo aprecias. Pero también puedes no hacerlo y comerte las consecuencias si llegan. Cada cual es libre.
Desde el movil? Nada de accesos remotos. Si necesito un password visible en el movil lo pongo en la app de gestion de passwords del movil y punto.
El software que uso (passwordsafe) tiene su versión en el movil y permite leer las mismas bbdd que en el PC, pero yo no hago eso. No quiero eso dentro del movil.
Un movil es demasiado inseguro. Un laptop le va detrás, pero en los laptops encriptas el disco por sistema ¿no?
Un formulario de la web?, pues me lo bajo, lo imprrimo, lo rrelleno con letrra bonica, lo escaneo y lo envio donde toque. No veo qué tiene que ver con guardarse los propios passwords. ¿qué tiene que ver?
¿O te refieres a usar un password en un campo de lo que sea (así sea un browser)?. Todos los gestores de passwords hacen eso de muchas formas distintas a elegir. Es su funcionalidad estrella. No es menos útil el nombre del usuario.
#9 Y todo esto para guardar la contraseña del Pornhub?
#75 Sí, junto con todas las demás. Tengo archivos diferentes para los passwords personales (más que nada servicios online), los passwords del trabajo, y los passwords sensibles (bancos y similares).
Apunto también ahí dentro otra información interesante. Por poner un ejemplo, los PINs de las targetas SIM y sus PUK. Es el mejor sitio donde no perderlos.
No solo uso bbdd de passwords. Hay información que va mejor en tomanotas jerárquicos. Los categorizo por importancia. Creo ficheros para temas específicos, como si hiciera investigación, pero tengo también anotaciones permanentes, como las compras de cacharros, donde registro su modelo, SN, y datos de su seguro si lo compré.
Lo de los tomanotas jerárquicos es un tema aparte digno de varias discusiones. Tengo un par de programas que me gustan y ninguno te sale nunca en las listas de "mejor software para". El resto, en mi miserable opinión, es mierda (ha gastado horas y horas buscando). Uno me vale para info más permanente y otro para "memoria de trabajo". Nunca he visto esta discusión en ménéame, que podriá titular "¿cómo te montas tu propia base de datos de conocimientos?". Es básicamente un sitio donde tener (y encontrar, importante esto) los datos que crees que merece la pena recordar.
"memoria de trabajo" son cosas que se hacen, se usan y luego se pierden. Por ejemplo si tengo que hacer algo que me resulta complicado, uso primero el anotador jerárquico para descomponerlo en pasos. Luego puedo descomponer cada paso en otros más sencillos. Así veo más claramente como empezar por donde. Copio ahi también los datos a tener en cuenta (o referencias a algun email) y en el momento de ejecutar lo tengo todo junto, sino el trabajo luego es más buscar la información que otra cosa, lo que es un rollazo.
Qué info guardar, en el trabajo es evidente. Los procedimientos, las personas de contacto para cada tipo de problema (una ficha que abro para cada personaje), estructura de las cosas de las que te encargas, etc. En lo personal yo me apunto las tiendas que me interesan, los sitios visitables, el como hacer algún trámite, etc. No es una lista de contactos como en un teléfono. No es un todolist. Esto se lleva aparte. Es una base de datos de conocimientos.
Para un todolist valoro la extrema sencillez. Uso una app de postits en pantalla que te permite verlas en forma de lista. Uso una sola nota para mantener mis to_do. Muy ocasionalmente una segunda nota si necesito apuntar detalles. En el movil google keep es lo más.
Cuando tengo que hacer algo que no sé hacer y me lo explican, yo pongo esa explicación traducida a procedimiento en mi storage más permanente. Igual si lo descubro por mi mismo o lo encuentro descrito en donde sea, no hay diferencia. El resultado es un procedimiento que es una entrada en mi bbdd de conocimientos.
#9 pues yo uso 1password y me ahorro todo el cristo que has escrito.
Pues tengo por ahí una pequeña colección de contraseñas de LP a la que no le había prestado atención. A ver si me hago con los vaults y pruebo a descifrar alguno.
Yo llevo usando vault warden ya varios años. Es software libre y corre en tu propio servidor. Cualquiera puede auditar el código aunque eso tampoco es una garantía 100% está claro, en este caso si al contraseña maestra es fácil de adivinar el riesgo sigue siendo alto. Un poco de autobombo por si le interesa a alguien: https://firstcommit.dev/2021/05/09/vaultwarden/
#58 yo he usado keepass durante años y años.
Y siempre seguro. Hace un par de años me bacilaba un idiota diciendo que lastpass era más seguro que manejar yo mismo mi archivo de claves. Me gustaría ver la cara que tiene ahora.
Yo me pille cajas de HD como estas por 15€
cada una (tengo 2 y mi colega otro 2) la clave de cifrado AES256 se compone de mi clave de 11 dígitos (los memorizo como dibujos sobre l teclas) más otra que añade el propio chip de la caja (de ahí que tengamos varias cajas iguales, que ya hemos probado que son intercambiables, por si fallo una.
https://www.ewent-eminent.com/es/productos/52-connectivity/carcasa-para-unidades-hdd%7Cssd-de-25-pulgadas-con-bloqueo-de-teclado
Luego tienes Bitlocker que tampoco está nada mal. Desbloqueo automático en el PC+sesión que tú quieres y bloqueado para el resto. La ventaja es que puedes poner una clave muy fuerte porque no te va a hacer falta escribirla mucho.
#41 desbloqueo automático!? Parece una idea pésima...
#97 En mi sesión de usuario del PC de mi casa a la que accedo con una contraseña más facilona. También en mi sesión del PC del trabajo
#41 eso es por si te roban el PC, si te infectas con un malware que robe contraseñas se la suda el bitlocker mientras el sistema esté corriendo.