LastPass obtiene pirateado: ¿hora de iniciar sesión sin contraseña?

Servicio de administrador de contraseñas LastPass anunció la semana pasada que experimentaron una violación de datos que expuso las direcciones de correo electrónico de los usuarios, las contraseñas encriptadas y las sugerencias de recordatorios de contraseñas sin cifrar.

Siguiendo el consejo de nunca utilizar la misma contraseña dos veces, y para elegir contraseñas que son difíciles de adivinar (y recordar), muchas personas usan sitios de administración de contraseñas como LastPass. Pero el problema con el uso de un tercero basado en la web para almacenar sus contraseñas es que también pueden ser pirateadas.

LastPass ciertamente tomó muchas precauciones de seguridad, y algunas funcionaron. Por ejemplo, LastPass nunca tuvo acceso a las contraseñas maestras de los clientes en texto claro. Pero almacenaron otra información sobre los usuarios en texto sin formato, y es esta información comprometida la que puede utilizarse para adivinar contraseñas maestras débiles.

El blog de LastPass anunciado explica que los saltos de servidor por usuario y los hashes de autenticación también se vieron comprometidos. El empleado Joe Siegrist escribió en un blog de seguimiento a los clientes:

& ldquo; Un atacante podría tratar de adivinar su contraseña maestra, luego usar su hashing por usuario y autenticación para determinar si su conjetura era correcta. [...] Si su contraseña maestra es débil o si su recordatorio de contraseña lo hace fácil de adivinar, entonces el atacante podría reducir significativamente el número de intentos necesarios para adivinarlo correctamente. & rdquo;

¿Cuándo es suficiente?

El mundo de la criptomoneda ha sido relativamente rápido en la captación de inicios de sesión web sin contraseña. Comenzó cuando Satoshi Labs ofreció a los usuarios Trezor Connect, que le permite iniciar sesión en sitios web participantes simplemente ingresando una billetera de hardware.

La comunidad de criptomonedas también mostró una gran emoción recientemente en el primer inicio de sesión de Secure Quick Reliable (SQRL) que utiliza códigos QR y la criptografía de clave pública detrás de Bitcoin para lograr un inicio de sesión sin contraseña.

Estos dos desarrollos por sí solos demuestran que los nombres de usuario y las contraseñas están lejos de ser necesarios para lograr relaciones seguras entre el cliente y el servidor en línea.

¿Pero alguno de ellos despegará? ¿Algún otro enfoque probará ser más atractivo? Todo se reducirá a la cantidad de violaciones de datos que los consumidores están dispuestos a soportar.


Síguenos en Facebook


  • LastPass
  • Hackers
  • Encriptación
  • Trezor
  • Seguridad