Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
16 de Junio, 2015    General

Lastpass... pwned?




Imagino que muchos de nuestros lectores habéis confiado la custodia de vuestras credenciales en el servicio en la nube LastPass

Los que no lo conozcáis (si es que hay alguien de este sector que no lo sepa), esta compañía lleva a la práctica la idea de poder acceder a tus contraseñas desde cualquier dispositivo, puesto que la nube las recuerda por tí, y todo ello cifrado con una contraseña maestra que sólo te sabes tú. 

¿Pinta genial, verdad?.... Excepto cuando ese servicio, o sus redes, se ve comprometido. 

Vía twitter, leo que en el blog de Lastpass han publicado una nota en la que se dice que desde el viernes pasado, detectaron una actividad anómala en su red. 

Aunque no está confirmado el alcance completo del incidente, indican que las direcciones de correo de usuarios, indicios recordatorios de contraseña, salts y hashes de autenticación sí que han sido comprometidos.

Las credenciales de los usuarios se cifran con el hash de la contraseña maestra del usuario, un salt aleatorio y 100.000 iteraciones de PBKDF2-SHA256

Lo que están recomendando a sus usuarios es que cambien inmediatamente la contraseña maestra, a fin de que se regenere todo de nuevo.

Esto podría implicar que las bases de datos de Have I Been Pwned? se vean nutridas con nuevos contenidos próximamente, sobre todo por aquellos que hayan tenido sus credenciales guardadas allí.

Como medidas proactivas, desde Lastpass están exigiendo confirmación de autenticación por email a todos aquellos usuarios que se estén dando de alta desde dispositivos no registrados anteriormente. 

En muchas charlas me habréis oido decir que soy "anti servicios en la nube", o que "las nubes son para los aviones". Obviamente, no soy usuario de Lastpass, y siempre he confiado en guardar mis contraseñas en local, utilizando KeePassx en un contenedor Truecrypt,... y por si acaso el disco duro de mi Mac, cifrado con Filevault2... Que sí, que todos ellos han tenido vulnerabilidades conocidas en su implementación en varias ocasiones, pero al menos sé que la llave la tengo yo.

Así que ya sabéis, usuarios de LastPass, corred a cambiar la contraseña maestra,... y, aunque desde LastPass digan lo contrario (qué te van a decir, claro) si yo fuera vosotros, me tomaría el trabajo de hacerlo en todas aquellas identidades que hayáis confiado en este servicio.

Edito para añadir, que se ve que no es la primera vez que detectan una anomalía en la red últimamente: https://blog.lastpass.com/2011/05/lastpass-security-notification.html/.

Autor: Lorenzo Martínez
Palabras claves ,
publicado por alonsoclaudio a las 23:15 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Noviembre 2017 Ver mes siguiente
DOLUMAMIJUVISA
1234
567891011
12131415161718
19202122232425
2627282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
29 Comentarios: prudent hackers, global hackers, SOLUTION HACKERS, [...] ...
» Curso en línea "Fundamentos de Administración de Sistemas Linux"
1 Comentario: ruchiroshni
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad