Portada
mis comunidades
otras secciones
#17:
La filtración se ha producido en el entorno de desarrollo, donde no existe acceso de ningún tipo a los datos de los usuarios. Es que ni siquieran han recomendado a los usuarios que cambien su contraseña maestra.
Por tanto, lo de poner 30 millones de usuarios y 85,000 clientes comerciales afectados me parece bastante sensacionalista ...
2. Has any data within my vault or my users’ vaults been compromised?
No. This incident occurred in our development environment. Our investigation has shown no evidence of any unauthorized access to encrypted vault data. Our zero knowledge model ensures that only the customer has access to decrypt vault data.
3. Has any of my personal information or the personal information of my users been compromised?
No. Our investigation has shown no evidence of any unauthorized access to customer data in our production environment.
4. What should I do to protect myself and my vault data?
At this time, we don’t recommend any action on behalf of our users or administrators. As always, we recommend that you follow our best practices around setup and configuration of LastPass which can be found here.
Por tanto, lo de poner 30 millones de usuarios y 85,000 clientes comerciales afectados me parece bastante sensacionalista ...
2. Has any data within my vault or my users’ vaults been compromised?
No. This incident occurred in our development environment. Our investigation has shown no evidence of any unauthorized access to encrypted vault data. Our zero knowledge model ensures that only the customer has access to decrypt vault data.
3. Has any of my personal information or the personal information of my users been compromised?
No. Our investigation has shown no evidence of any unauthorized access to customer data in our production environment.
4. What should I do to protect myself and my vault data?
At this time, we don’t recommend any action on behalf of our users or administrators. As always, we recommend that you follow our best practices around setup and configuration of LastPass which can be found here.
#2:
Poner tus contraseñas en el ordenador de otro. Que puede salir mal...
Por no hablar de concentrar tantas contraseñas en un mismo sitio lo que hace que sea el mejor objetivo posible. Atacas un objetivo y el premio son las contraseñas de millones de sitios.
Por no hablar de concentrar tantas contraseñas en un mismo sitio lo que hace que sea el mejor objetivo posible. Atacas un objetivo y el premio son las contraseñas de millones de sitios.
#14:
#9 Les han pillado también código fuente entre lo que puede estar el sistema de cifrado.
No, porque el cifrado usa una contraseña maestra que solo tiene el cliente, así que aunque tengan acceso al codigo fuente seguirían sin tener acceso a las contraseñas guardadas.
Es más, si fuera como dices, ningún sistema de código abierto podría ser seguro.
No, porque el cifrado usa una contraseña maestra que solo tiene el cliente, así que aunque tengan acceso al codigo fuente seguirían sin tener acceso a las contraseñas guardadas.
Es más, si fuera como dices, ningún sistema de código abierto podría ser seguro.
#1:
Mira, una buena oportunidad para hacerlo software libre..
Comentarios
Poner tus contraseñas en el ordenador de otro. Que puede salir mal...
Por no hablar de concentrar tantas contraseñas en un mismo sitio lo que hace que sea el mejor objetivo posible. Atacas un objetivo y el premio son las contraseñas de millones de sitios.
#2 no hay problema, circulen circulen
#2 yo jamas he entendido esa moda de recomendar de pasar de almacenar las contraseñas en tu ordenador a hacerlo en el ordenador de otros.
#7 Yo diría que el motivo principal es poder acceder a ellas desde tu ordenador pero también desde fuera de casa mediante movil u otros equipos.
#8 cualquier navegador moderno permite hoy en dia sincronizar.
#10 Pero si sincroniza, lo hace contra un servidor, entiendo, no contra tu PC...
#11 si, a lo que voy es, que no hay escusa para usar programas de un tercero si la escusa es la sincronizacion de contraseña, ya que los navegadores modernos lo hacen de forma nativa, sincronizando no solo las contraseñas, si no tambien los favoritos.
#12 Ok entendido. Si, yo suelo guardar las contraseñas en la cuenta de firefox por aquello de tenerlas siempre disponibles. Seguramente estarían mas seguras en mi PC, pero también creo que están más seguras en el servidor de firefox que si tuviese una copia de las mismas en mi móvil...
#12 Creo que la utilidad es la gestión de equipos. Poder compartir contraseñas entre varias personas puede ser bastante útil en entornos empresariales.
#16 en entornos empresariales tendria que estar terminantemente prohibido compartir contraseñas entre varias personas.
#18 Usar la misma contraseña varias personas te refieres?
Habia entendido "oye te paso la contraseña" que seria util para mandar un fichero cifrado, mejor que plano y luego darle la contraseña de un modo seguro para que lo abra.
Si se hace amenudo, seria bueno tener un Keepas con contraseñas ya echas y asi decirle. Coje tu keepass y usa la contraseña numero X Asi no hay que mandarla. Si es por telefono es incomodo y cuanto menos se envien mejor.
Tambien es conveniente cuando te dan la contraseña, directamente cambiarla uno mismo por otra. La anterior no sabes quien puede haberla conocido.
#19 Eso lo he visto en un hospital a principios de 2k. Imagino que lo han adecentado en este tiempo.
#37 Además, si hay repetidas, es señal de que no se renuevan que es otro nivel de inseguridad. Si se renovasen acabarian siendo diferentes.
#29 Solo hace falta saber que el protocolo solo manda datos indescifrables y no hay alguna puerta trasera imprevista o prevista.
Hay opciones libres locales como Keepass o Bitwarden.
#27 #34 licencia GPL Afero
https://es.wikipedia.org/wiki/Bitwarden
#18 Y por curiosidad, si un equipo de integraciones tiene que hacer llamadas a una API de un tercero, y este solo te da unas credenciales a nivel de empresa como lo gestionas?
#54 hola
Se te cortocircuita el cerebro.
#73 Es que el caso ideal está muy claro, pero nunca se trabaja con el caso ideal.
#16 ¿Compartir contraseñas en entornos profesionales?
#19 Sí, compartir contraseñas. Como cuando un equipo tiene que acceder a un servicio de terceros con un usuario común o a un servidor ftp o lo que sea, donde todos los miembros usan el mismo usuario y la misma contraseña.
#26 Es que eso no debería ocurrir nunca, es una brecha de seguridad gigantesca.
#26 y si despides a alguien tienes que cambiar todas las contraseñas compartidas. no, en un entorno empresarial el compartir contraseñas es una locura.
#37 No tienes que cambiar ninguna contraseña porque para acceder a esos servicios tienes que hacerlo desde la red interna de la empresa, bien sea directamente o a través de una VPN y el empleado despedido no va a tener acceso.
#26 Muy mala politica. Si conoces a alguien que la aplique, recomiendale formarse adecuadamente en temas básicos de seguridad.
#19 #44 ¿conocéis otra forma de accer varias personas a un mismo recurso cualquiera, pero teniendo contraseñas distintas? Quizás es que no trabajéis o que no accedes a muchos recursos compartidos.
Y hablo, como apunta alguno, de ftps externos donde no tienes control, portales varios, sistemas de clientes que no te dan otra cosa, bases de datos o hosting, cuentas en redes sociales, la alarma de la empresa, la clave del wifi, el código para entrar al baño, etc., etc. La lista es interminable...
#52 "ftps externos donde no tienes control" Si no tienes control, no es tu sistema, es que te obligan a usarlo. Por tanto, la responsabilidad es de otro, que es el que tiene que proveer un sistema de seguridad racional.
Hablamos de la seguridad de los sistemas que controlas, no de los que no controlas. Es evidente que, los que no controlas, no son tu responsabilidad.
Allá el que quiera comprometer sus datos usando sistemas de otros, que no suministran esquemas de seguridad profesionales.
No se, creía que estaba claro...
#60 Se estaba hablando de compartir contraseñas en entornos empresariales. Y por eso defiendo que compartir contraseñas en una empresa es el día a día. Y si se va alguien, pues toca intentar cambiarlas todas. Luego está el saber quién sabe qué contraseña.
Obviamente no es normal en una empresa que se ponga un único correo electrónico y todo el mundo use ese con la contraseña compartida.
#80 Si, yo también hablo de sistemas empresariales, que es lo que conozco bien.
Si estás obligado a usar un sistema externo sobre el que no tienes control, no hay nada que hacer.
Si usas contraseñas compartidas en un sistema que está bajo tu control, es un error mayúsculo.
No hay mas, lo siento. Además, va en contra de nuestra legislación, para determinado tipo de datos.
Nadie superará ninguna certificación de calidad con un sistema en el que se comparten contraseñas de acceso.
#19 No es lo ideal, pero no es tan terrible:
Todos los de sistemas/devOps y desarrolladores pueden usar la misma de administrador en los entornos de pruebas, por ejemplo.
Otro ejemplo: trabajé en una empresa donde cada equipo de desarrollo tenía una cuenta para crear/gestionar cierto tipo de tickets (devTeam1, devTeam2....), con lo que en el gestor de contraseñas se te daba acceso a la contraseña de tu equipo.
#19 En mi curro es el dia a dia, tanto de usuario del equipo como de aplicaciones. Eso por no mencionar contraseñas que estarían entre las 10 primeras que probaría cualquiera o que en cierta aplicacion que usamos, los desarrolladores las tienen (o tenían hace un par de años) registradas en la BD en texto plano.
Seguro que por aqui hay gente de soporte técnico que podrá decirlo mejor que yo, pero me da que poco nos pasa para lo que nos merecemos.
#12 Usar la sincronización del navegador también es confiar en un tercero.
La cosa es, en quién confías más. ¿En Google o en LastPass?
En este caso ha fallado LastPass, pero Google tampoco es infalible.
#24 Google no decodifica en cliente... Creo que está claro quien es más seguro.
#12 Es mucho más seguro un gestor de contraseñas, aunque este en la nube..que guardar las contraseñas en el navegador asociado a tu cuenta...por ejemplo gmail.
#12 Para poder sincronizar entre navegadores, esos datos pasan por los servidores de Google/Mozilla.
LastPass ofrece funcionalidades extras, como poder sincronizar entre distintos navegadores: puedes usar chrome en tu PC, Safari en el iPad y Firefox en otro dispositivo y todos comparten los datos.
#51 No sólo eso, 1password te informa cuando alguna web ha sido hackeada para que cambies la contraseña, por ejemplo.
#12 Pero vuelta a lo mismo, si sincroniza contra un servidor, a no ser que el servidor sea tuyo, no puedes tener la certeza de que el servidor no cachea los ficheros para el futuro, o cualquier cosa, así que el vector de ataque sigue siendo alto.
Yo la mejor solución creo que es, a día de hoy, tener un servidor propio de bitwarden o su versión escrita en rust vaultwarden puede ser? Y tenerlo en un servidor propio.
en varios sitios lo que se quiere es compartir password también con terceros.
Por ejemplo, si compartes usuario de netflix con amigos, y eso con un keepass pues complicado.
Para empresas idem, es mejor tener un servidor que aloje los passwords, pero si, el servidor debería ser propio, aunque no todo el mundo tiene ese conocimiento.
#61 goto #12
#62 goto #63
#12 Lo que tu propones te ata a un navegador en concreto. Con 1password tengo mis contraseñas sin importar el navegador. Por no hablar que puedo almacenar otro tipo de información segura, no sólo contraseñas de páginas web.
#10 Si estás sincronizando las contraseñas entre varios navegadores, lamento comunicarte que las estás guardando (de forma segura) en el "ordenador de otros" (sic) de la misma forma que si lo haces con LastPass.
#10 sincronizar las contraseñas del navegador es precisamente lo que criticas: "almacenar las contraseñas en el ordenador de otro".
#7 Comodidad cuando usas varios ordenadores y dispositivos, sobretodo en negocios. Es más productivo pero a cambio... menos seguro.
#21 en el mundo de negocios es más bien para facilitar onboarding y offboarding así como para la rotación de claves compartidas. No sólo se guardan contraseñas, también certificados y otras cosas; habitualmente las empresas usan SSO y sistemas como LastPass para accesos compartidos que no están habilitados con en SSO
#21 Si se hacen las cosas bien (y me consta que lo hacen) es de hecho más seguro. Si consiguen acceder a tus contraseñas en LastPass, no verán más que ruido, porque solo tú tienes la contraseña maestra y, sin ella, es técnicamente imposible ver sus contenidos. Es más seguro porque al sugerirte no reutilizar contraseñas, te protegen de cosas como el Credential Stuffing
#7 yo sigo utilizando mi cabeza para estas cosas
#28 entonces o tienes muy pocas o son muy inseguras
#58 Yo tengo 3 posibles contraseñas, que uso aleatoriamente, y cambio cada cierto tiempo. Así no supero los típicos 3 intentos.
Uso letras, números y símbolos, mayúsculas y minúsculas. No hay nada perfecto, pero dejar tus contraseñas en apps de terceros no me parece muy seguro tampoco precisamente.
Desde que se me jodio el NAS uso onedrive, pero lo cierto es que soy alérgico a alojar cosas en la "nube" de otros.
#59 necesitas tener 100 contraseñas?
#28 ¿Utilizas tu cabeza para almacenar las contraseñas únicas, complejas y aleatorias de todos y cada uno de los servicios y aplicaciones que utilizas?
#28 O sea, que usas contraseñas repetidas y fáciles de recordar. No es buen método.
#7 En realidad el motivo (o el valor) principal es usar contraseñas diferentes para todos tus servicios.
Históricamente la gente se ha aprendido una contraseña (y sus 3 o 4 variantes) y la ha utilizado en todos los servicios en los que se ha registrado. Sin embargo, con el tiempo, se ha visto que con esta metodología, tus cuentas son tan seguras como la menos segura de tus cuentas. Los maleantes se dedican a obtener listas de cuentas de sitios mal protegidos y los usan para acceder a cosas importantes como Google, FB, tu banco, etc. Se llama Credential Stuffing por si quieres investigar más.
Servicios como LastPass o 1Password hacen que no reutilices contraseñas en ningún lado así que el credential stuffing es inservible contra ellos. Además, que si siguiesen buenas prácticas, como espero que hagan, ellos no pueden ver ni una sola de tus contraseñas. Solo guardan un trozo de datos encriptado cuya clave solo tienes tú.
#2 #7 La razón es la misma que la de poner el dinero en el Banco: en principio es más seguro que tenerlas tú porque se enfocan precisamente en la seguridad: si las guardas tú es engorroso pasarlas a otro dispositivo y es sencillo que no sigas todas las buenas prácticas de seguridad.
De hecho, he votado la noticia como sensacionalista: ninguna contraseña maestra ha sido comprometida y no es necesaria ninguna acción por parte de los clientes/usuarios, por lo que el número de clientes afectados (a menos que se desmienta lo declarado) es 0 (cero).
#2 Que alguien me corrija si digo una sandez pero, dependiendo de cómo se implemente, no estás poniendo tus contraseñas en el ordenador de otro, sino que las puedes poner cifradas desde el propio cliente (de modo que sean inútiles si se roban)
#29 Es exactamente lo que hacen. Aunque accediesen a las "contraseñas" en el servidor, estarían todas cifradas con una contraseña maestra que solo conoce el usuario.
#29 pista: la contraseña maestra es "contraseña".
CC: #6, #42
#56 Pero entonces no sería culpa de LastPass sino del usuario 😅
#56 eso no lo tiene un usuario de lastpass (para empezar porque no cumple los requisitos)
#29 Es que es así, sin la clave del usuario esos datos son inservibles, está todo cifrado.
#2 Me parece que se está haciendo más bola de lo que realmente es, los datos de los usuarios están cifrados de manera que ni siquiera LastPass tiene acceso a ellos sin la clave de cada usuario.
#2 Como la lista Robinson, que pueden comprarla los spammers por 150 ebros...
La filtración se ha producido en el entorno de desarrollo, donde no existe acceso de ningún tipo a los datos de los usuarios. Es que ni siquieran han recomendado a los usuarios que cambien su contraseña maestra.
Por tanto, lo de poner 30 millones de usuarios y 85,000 clientes comerciales afectados me parece bastante sensacionalista ...
2. Has any data within my vault or my users’ vaults been compromised?
No. This incident occurred in our development environment. Our investigation has shown no evidence of any unauthorized access to encrypted vault data. Our zero knowledge model ensures that only the customer has access to decrypt vault data.
3. Has any of my personal information or the personal information of my users been compromised?
No. Our investigation has shown no evidence of any unauthorized access to customer data in our production environment.
4. What should I do to protect myself and my vault data?
At this time, we don’t recommend any action on behalf of our users or administrators. As always, we recommend that you follow our best practices around setup and configuration of LastPass which can be found here.
#17 Sí, eso decimos en mi empresa. Que los devs por lo general no podemos acceder a los datos privados de los usuarios.
Pero en fin, sabes que eso no es verdad y al final ciertas personas tienen acceso desde su PC a instancias de servidor. La filtración es totalmente posible
#22 Han accedido al código fuente. Entiendo que al repositorio donde esté.
No veo como se podría acceder desde ahí a los datos de los usuarios.
#22 LastPass no almacena tus contraseñas en claro, por lo tanto por mucho acceso que tuviesen a los datos, no podrían nunca ver tus contraseñas, solo verían ruido. La contraseña maestra para acceder a tus contraseñas solo la tienes tú.
#22 pues no será tan seria o no estará auditada. He trabajado en AML en una tecnológica puntera y todo acceso a datos de producción estaba auditado y generaba un incidente/glassbreak de forma automática. Puedes acceder, si, pero siempre vas a tener que dar explicaciones al regulador /.autoridad competente.
#9 Les han pillado también código fuente entre lo que puede estar el sistema de cifrado.
No, porque el cifrado usa una contraseña maestra que solo tiene el cliente, así que aunque tengan acceso al codigo fuente seguirían sin tener acceso a las contraseñas guardadas.
Es más, si fuera como dices, ningún sistema de código abierto podría ser seguro.
Mira, una buena oportunidad para hacerlo software libre..
#9 El sistema de cifrado es abierto, como casi todos. De hecho si el sistema de cifrado es propietario desconfía.
La robustez de un sistema de cifrado no radica en que el sistema sea secreto. Radica en que no hay capacidad técnica para romperlo.
Por esto es importante usar código abierto. Yo uso Bitwarden (https://bitwarden.com/) y va genial. Y no hace falta robarles el código, está disponible (https://github.com/bitwarden)
#27 Pero es de pago, no? Échale un vistazo a vaultwarden
#34 No, es gratuito. Luego tiene una versión de pago con más funcionalidades que cuesta 10€ al año para uso personal.
#34 https://github.com/dani-garcia/vaultwarden/wiki : «Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs»
#9 Los sistemas y algoritmos de cifrado son públicos y bien conocidos. Las empresas usan esos algoritmos y no algoritmos propios. La clave reside en conocer la "llave" que abre el cifrado, no en conocer cómo se cifra.
Da igual todo lo que intentes mirar y computar. Sólo esa llave descifrará el contenido.
Un ejemplo en #27
A ver, el uso "real y práctico" de estas herramienta de almacenaimento, es que cuando te das de alta en cualquier sitio, esta app te genera una contraseña ALEATORIA (que no sabes ni tu). Esa contraseña se almacena en la App, de forma que cuando necesitas volver a acceder, si tienes que poner la contraseña, te saltará el gestor para que se introduzca automaticamente.
El objetivo de todo esto es doble:
1- En cada sitio tienes una contraseña distinta, generada aleatoriamente, y con todo tipo de caracteres
2- Tu solo tienes que recordar 1 (UNA) contraseña, la de la app, de forma que solo con esa contraseña, una vez validado tu usuario, el resto de contraseñas se introducen automaticamente.
...Que luego todos usemos estas apps (yo uso Bitwarden :p) como un sistema de guardado de las mismas contraseñas de siempre, pues ya es otro tema
Decir que Firefox tiene una función que ninguno de los basado en Chromium tiene o he visto, que es cifrar la base de datos de contraseñas guardadas con una clave maestra. Aunque se sincronicen con Mozilla con Firefox Sync, tu fichero de claves estará cifrado y sin dicha clave maestra no podrías descifrarlos. También existe la posibilidad de integrar KeePassXC con Firefox, no se guardan en el navegador, a través de una extensión hace de puente con KeePassXC. Este último es multiplataforma y software libre. Para Android tenéis KeePassDroid.
Es importante también recomendar usar autentificación de dos factores para sitios mas comprometidos.
#88 Bueno, ese folio está mezclado con tres trillones de carpetas, documentación, libros, etc. El que lo encuentre tiene premio. Además, tengo una copia en otra zona de la casa, mezclada con otros miles de carpetas. Caso de que la casa salga ardiendo... o una inundación... el menor de mis problemas es perder las contraseñas. Además, para diversión mía, está "encriptada" con un código personal. Esto último por diversión, eh.
Donde esté el viejo folio con contraseñas anotadas a mano. Y todas diferentes, claro.
#33 emmm en realidad ese folio es mucho menos seguro. Si lo pierdes, te quedas sin nada. Si alguien lo encuentra, se queda con todas tus cuentas.
Menudo cagallón.
Bien. Pensaba en pasar de mi txt a un gestor. Ya no.
Al final, el postit de toda la vida será la mejor solución.
#3 Hay mas posibilidades de generar contraseñas como usar keepss en un usb.
Pero desde luego colgar tu libro de contraseñas en la nube no es un método seguro.
#4 la empresa guarda todo cifrado desde el cliente. Incluso si alguien se hace con esas contraseñas cifradas no va a poder usarlas.
#6 "Incluso si alguien se hace con esas contraseñas cifradas no va a poder usarlas."
Eso no esta claro. Les han pillado también código fuente entre lo que puede estar el sistema de cifrado. Por no hablar de la mala costumbre que tienen las empresa de dejar puertas traseras.
#9 "LastPass insiste en que el incidente no comprometió las contraseñas maestras que gestionan el acceso a las bóvedas cifradas en su software insignia de gestión de contraseñas"
Si los malos no tienen las contraseñas maestras, debería dar igual el método de cifrado.
#15 No, no da igual. Hay sistemas de cifrado débiles que se sabe cómo romperlos en pocos segundos. Pero lastpass ni ninguna empresa del sector los usa por razones más que obvias.
#9 Da igual que esté el "sistema de cifrado". Todas las compañías usan estándares públicos de cifrado, no hay ninguna receta mágica y secreta. Sin la contraseña sigue siendo inservible.
#9 no sabes como funcionan los cifrados, no?
#4 qué pasa si se te rompe el usb?
#31 puedes tener dos, por si se rompe uno.
#4 Y luego pasártelas por Whatsapp al móvil para poder usarlas fuera del PC. Eso seguro que es mejor.
La realidad es que lastpass, bitwarden y compañía, si siguen los procedimientos que dicen seguir, son mucho más seguros que tener las contraseñas en local.
Hablamos dentro de la gente "seria" no de los que rotan las mismas 4 contraseñas para todo.
Sensacionalista: Según la noticia, los usuarios no han sido afectado, han robado código e información de la aplicación, pero no han accedido ni a datos personales ni a los passwords encriptados
boli y libretita, lo demás es estúpido
un servidor en casa y vaultwarden. Debemos empezar a ser guardianes de nuestros datos.
Poner tus passwords en la nube es práctico, pero se tiene que hacer bien.
Yo los pongo, pero dentro de su aplicación encriptada y eso dentro de un volumen de veracrypt que no se puede abrir a base de probar passwords.
#46 Vamos, que haces lo mismo que LastPass pero a mano, o es que piensas que LastPass puede ver las contraseñas en claro de los usuarios?