Imagino que muchos de nuestros lectores habéis confiado la custodia de vuestras credenciales en el servicio en la nube
LastPass.
Los que no lo conozcáis (si es que hay alguien de este sector que no lo
sepa), esta compañía lleva a la práctica la idea de poder acceder a tus
contraseñas desde cualquier dispositivo, puesto que la nube las recuerda
por tí, y todo ello cifrado con una contraseña maestra que sólo te
sabes tú.
¿Pinta genial, verdad?.... Excepto cuando ese servicio, o sus redes, se ve comprometido.
Aunque no está confirmado el alcance completo del incidente, indican que
las direcciones de correo de usuarios, indicios recordatorios de
contraseña, salts y hashes de autenticación sí que han sido
comprometidos.
Las credenciales de los usuarios se cifran con el hash de la contraseña
maestra del usuario, un salt aleatorio y 100.000 iteraciones de
PBKDF2-SHA256.
Lo que están recomendando a sus usuarios es que cambien inmediatamente
la contraseña maestra, a fin de que se regenere todo de nuevo.
Esto podría implicar que las bases de datos de
Have I Been Pwned? se vean nutridas con nuevos contenidos próximamente, sobre todo por aquellos que hayan tenido sus credenciales guardadas allí.
Como medidas proactivas, desde Lastpass están exigiendo confirmación de
autenticación por email a todos aquellos usuarios que se estén dando de
alta desde dispositivos no registrados anteriormente.
En muchas charlas me habréis oido decir que soy "anti servicios en la
nube", o que "las nubes son para los aviones". Obviamente, no soy
usuario de
Lastpass, y siempre he confiado en guardar mis contraseñas en
local, utilizando
KeePassx en un contenedor
Truecrypt,... y por si acaso el disco duro de mi Mac, cifrado con
Filevault2...
Que sí, que todos ellos han tenido vulnerabilidades conocidas en su
implementación en varias ocasiones, pero al menos sé que la llave la
tengo yo.
Así que ya sabéis, usuarios de LastPass, corred a cambiar la contraseña
maestra,... y, aunque desde LastPass digan lo contrario (qué te van a
decir, claro) si yo fuera vosotros, me tomaría el trabajo de hacerlo en
todas aquellas identidades que hayáis confiado en este servicio.