Analista de seguridad: la declaración de infracción de LastPass contiene «verdades a medias y mentiras absolutas»

Justo antes de Navidad, LastPass publicó una actualización sobre su brecha de seguridad, incluida la noticia de que el pirata informático había obtenido las bóvedas de los clientes. Después de analizar todas las afirmaciones técnicas, un investigador de seguridad dice que la situación es mucho peor de lo que afirma la empresa, y cree que la declaración está «llena de omisiones, medias verdades y mentiras descaradas». Wladimir Palant en su blog de seguridad, Almost Secure (a través de TechMeme), sacó 14 declaraciones diferentes en la actualización de LastPass sobre su brecha de seguridad. Palant cree que LastPass minimizó los riesgos y fue culpable de «negligencia grave», desde las afirmaciones de transparencia de la empresa hasta sus propias prácticas de seguridad y más. Una de las afirmaciones en disputa es que LastPass les dice a los clientes: «Si usa la configuración predeterminada anterior, tomaría millones de años adivinar su contraseña maestra usando la tecnología de descifrado de contraseñas comúnmente disponible». ser dos meses que «millones de años»:

Traduzco: «Si has hecho todo bien, nada te puede pasar.» Esto, a su vez, prepara el escenario para culpar a los clientes. Uno supondría que las personas que «prueban las últimas tecnologías para descifrar contraseñas» sabrían mejor. Como calculé, incluso adivinar una contraseña verdaderamente aleatoria que cumpla con sus criterios de complejidad tomaría menos de un millón de años en promedio con una sola tarjeta gráfica. Pero las contraseñas elegidas por humanos son cualquier cosa menos aleatorias. La mayoría de las personas tienen problemas para recordar una contraseña de 12 dígitos verdaderamente aleatoria. Una encuesta anterior encontró que la contraseña promedio tiene 40 bits de entropía. Dichas contraseñas podrían adivinarse en poco más de dos meses en la misma tarjeta gráfica. Incluso una contraseña inusualmente segura con 50 bits de entropía tardaría 200 años en promedio, lo que no es poco realista para un objetivo de alto valor al que alguien arrojaría más hardware.

Si usó LastPass y aún no lo ha hecho, es más seguro cambiar todas sus contraseñas. Consulte todos los problemas planteados por la vulnerabilidad de LastPass en la publicación completa del blog de Palant. También tenemos un tutorial de cómo configurar para guardar sus contraseñas con AutoFill/iCloud Keychain en sus dispositivos Apple: FTC: Usamos enlaces de afiliados automáticos que generan ingresos. Más.


Visite 9to5Mac en YouTube para obtener más noticias de Apple:

Deja una respuesta

Tu dirección de correo electrónico no será publicada.