Imagen destacada del artículo
AppleInsider puede ganar una comisión de afiliado sobre las compras realizadas a través de enlaces en nuestro sitio.
LastPass ha afirmado que se necesitarían millones de años para descifrar la contraseña maestra de un usuario, pero una empresa rival afirma que el proceso no llevará tanto tiempo y que podría realizarse por solo $100.
LastPass, una popular empresa de gestión de contraseñas, fue atacada recientemente cuando se obtuvieron bóvedas de datos de clientes a través de un ataque en agosto.
Ahora, el rival de la empresa, 1Password, afirma que LastPass no protege lo suficiente los datos de los clientes.
Una publicación de blog del principal arquitecto de seguridad de 1Password, Jeffrey Goldberg, explica la importancia de usar contraseñas generadas por máquinas en lugar de contraseñas generadas por usuarios.
«Si considera todas las contraseñas posibles de 12 caracteres, hay alrededor de 272 posibilidades. Tomaría muchos millones de años probarlas todas. De hecho, tomaría mucho más tiempo», escribe. «Pero las personas que descifran las contraseñas creadas por humanos no lo hacen de esa manera. Configuran sus sistemas para probar primero las contraseñas más probables».
Goldberg señala que la mayoría de las contraseñas creadas por los usuarios se pueden descifrar en menos de 10 mil millones de intentos a través de un proceso que cuesta alrededor de $ 100.
Esta es una mala noticia para el usuario promedio, que normalmente crea una contraseña más corta y menos compleja que algo generado por una máquina.
Señala que 1Password agrega una capa adicional de protección: la clave secreta. La clave secreta de un cliente se crea en el dispositivo, nunca se envía a 1Password y se requiere para descifrar los datos del usuario.
Entonces, si bien un hacker teóricamente puede obtener la contraseña maestra de un usuario de 1Password, es inútil sin la clave secreta.
El blog termina asegurando a los usuarios que 1Password ha ido más allá para proteger sus datos, incluso si los usuarios no siguen las mejores prácticas y usan contraseñas generadas por máquinas.
«No hemos sido violados y no planeamos ser violados. Pero entendemos que tenemos que planificar para ser violados», escribe Goldberg. «La clave secreta de 1Password puede no ser el aspecto más fácil de usar de nuestro diseño centrado en el ser humano, pero significa que podemos decir con total confianza que sus secretos permanecerán seguros en caso de una violación».
LastPass ha sido criticado por prácticas de seguridad cuestionables en el pasado.
En diciembre de 2021, los miembros de LastPass informaron múltiples intentos de inicio de sesión utilizando contraseñas maestras correctas desde varias ubicaciones. La compañía aseguró a los clientes que los ataques fueron el resultado de la filtración de contraseñas en infracciones de terceros.