Analista de seguridad: la declaración de LastPass sobre la violación incluye «verdades a medias y mentiras absolutas»

Justo antes de Navidad, LastPass publicó una actualización sobre su brecha de seguridad, incluida la noticia de que el pirata informático obtuvo las bóvedas de los clientes. Después de analizar todas las afirmaciones técnicas, un investigador de seguridad dice que la situación es mucho peor de lo que afirma la empresa y cree que la declaración está «llena de omisiones, medias verdades y mentiras descaradas».

Escribiendo en su blog de seguridad, Almost Secure (a través de TechMeme), Wladimir Palant ha seleccionado 14 declaraciones diferentes en la actualización de LastPass sobre su brecha de seguridad.

Cubriendo todo, desde el reclamo de transparencia de la compañía hasta sus propias prácticas de seguridad y más, Palant cree que LastPass ha minimizado los riesgos y es culpable de «negligencia grave».

Una de las afirmaciones en cuestión es que LastPass les dice a los clientes: «Si usa la configuración predeterminada anterior, tomaría millones de años adivinar su contraseña maestra usando la tecnología de descifrado de contraseñas disponible en general».

Palant dice que probablemente esté más cerca de dos meses que de «millones de años» para la persona promedio:

Traduzco: “Si has hecho todo bien, no te puede pasar nada”. Esto nuevamente prepara el terreno para culpar a los clientes. Uno supondría que las personas que «prueban las últimas tecnologías de descifrado de contraseñas» sabrían mejor que eso. Como he calculado, incluso adivinar una contraseña verdaderamente aleatoria que cumpla con sus criterios de complejidad tomaría menos de un millón de años en promedio usando una sola tarjeta gráfica.

Pero las contraseñas elegidas por humanos están lejos de ser aleatorias. La mayoría de las personas tienen problemas incluso para recordar una contraseña de doce caracteres verdaderamente aleatoria. Una encuesta anterior encontró que la contraseña promedio tiene 40 bits de entropía. Dichas contraseñas podrían adivinarse en poco más de dos meses en la misma tarjeta gráfica. Incluso una contraseña inusualmente fuerte con 50 bits de entropía tardaría 200 años en promedio, lo que no es poco realista para un objetivo de alto valor al que alguien le agregaría más hardware.

Si usó LastPass y aún no lo ha hecho, lo más seguro es cambiar todas sus contraseñas.

Consulte todos los problemas que surgieron con la brecha de seguridad de LastPass en la publicación completa del blog de Palant.

También tenemos un tutorial sobre cómo configurar el almacenamiento de sus contraseñas con Autocompletar/Llavero de iCloud en sus dispositivos Apple:

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.


Visite 9to5Mac en YouTube para obtener más noticias de Apple:

Deja un comentario