“Las contraseñas se pueden descifrar por $ 100”
La controversia sobre la brecha de seguridad de LastPass continúa. Después de que un analista de seguridad independiente calificó las declaraciones de LastPass como «verdades a medias y mentiras absolutas», la empresa rival de gestión de contraseñas 1Password también intervino… LastPass afirmó que descifrar las contraseñas maestras de los usuarios llevaría millones de años, pero 1Password dice que no es así. el caso para la mayoría de los usuarios. De hecho, solo costaría $ 100 descifrar la contraseña maestra de un usuario típico de LastPass.
Contenidos
antecedentes
En agosto se descubrió una vulnerabilidad de LastPass. En ese momento, la compañía anunció que no se accedió a ningún dato del cliente.
Hace dos semanas notamos una actividad inusual en partes del entorno de desarrollo de LastPass. Después de iniciar una investigación inmediata, no encontramos evidencia de que este incidente involucrara acceso a datos de clientes o bóvedas de contraseñas encriptadas.
En cambio, según LastPass, un atacante tomó parte del código fuente y «alguna información técnica patentada de LastPass». Sin embargo, más tarde se supo que el atacante usó esta información para obtener un acceso más amplio a los sistemas de LastPass y luego pudo acceder a los datos del cliente.
Hemos determinado que una parte no autorizada pudo obtener acceso a ciertos elementos de la información de nuestros clientes utilizando información obtenida en agosto de 2022.
LastPass reveló el alcance de estos datos la semana pasada, y fue mucho peor de lo que se sospechaba.
La compañía ha dicho que ha recibido copias de las bóvedas de contraseñas de los clientes junto con sus nombres, direcciones de correo electrónico, direcciones de facturación, números de teléfono y más.
La compañía hizo todo lo posible para señalar que las bóvedas de contraseñas usaban un cifrado fuerte y que eran inaccesibles sin las contraseñas maestras de los clientes.
Estos campos cifrados permanecen protegidos con cifrado AES de 256 bits y solo se pueden descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario utilizando nuestra arquitectura de conocimiento cero. Como recordatorio, LastPass nunca conoce la contraseña maestra y LastPass no la almacena ni la mantiene.
Sin embargo, el analista de seguridad independiente Wladimir Palant cuestionó esta semana no menos de 14 de las afirmaciones de LastPass y las describió como «llenas de omisiones, verdades a medias y mentiras descaradas». En particular, dijo que no era cierto que llevaría «millones de años» descifrar las contraseñas maestras y obtener acceso a todos los inicios de sesión de un cliente. Estimó que el tiempo real que tomaría un ataque dirigido sería de alrededor de dos meses.
Seguridad de LastPass atacada por 1Password
El arquitecto líder de seguridad de 1Password, Jeffrey Goldberg, dice en una publicación de blog que incluso eso sobrestima la dificultad, diciendo que si alguien quisiera descifrar la contraseña maestra de un cliente típico de LastPass, el proceso solo costaría alrededor de $ 100. Goldberg usa el mismo razonamiento que Palant: las contraseñas maestras reales para la mayoría de los usuarios no son aleatorias, y los crackers de contraseñas lo saben.
¡Los sistemas de craqueo probarán cosas como Fido8my2Sox! y 2b||!2b.titq mucho antes de probar cosas como la máquina creada por zm-@MvY7*7eL. Las contraseñas creadas por humanos se pueden descifrar incluso si cumplen varios requisitos de complejidad. Entonces, si usted (o alguien más) creó esa contraseña de 12 dígitos, no importa que haya 272 contraseñas diferentes posibles de 12 dígitos. Lo que importa es si el suyo se encuentra entre los miles de millones que los atacantes intentan primero.
Él dice que la mayoría de las contraseñas se pueden descifrar en menos de 10 mil millones de intentos y que podría hacerse por alrededor de $ 100.
Las contraseñas maestras de 1Password no se pueden aplicar brutalmente
Goldberg dice que con LastPass, la contraseña maestra del usuario es lo único que se necesita para acceder a todos sus inicios de sesión, pero ese no es el caso con 1Password, que combina una contraseña maestra elegida por el usuario con una clave secreta derivada de una máquina. Ambos son necesarios para acceder a la bóveda de contraseñas de un usuario. La clave secreta se crea en el propio dispositivo del usuario y nunca lo abandona. El usuario no sabe lo que es. 1Password no sabe qué es. Una publicación de blog anterior que explica cómo funciona usa el ejemplo de un usuario hipotético Molly que usa una contraseña maestra débil.
La clave secreta de 128 bits de Molly se combina con su contraseña bastante débil en su propia máquina. Es secreto para nosotros y nuestros servidores. Recuerde que no se transmiten secretos del cliente 1Password de Molly a nuestros servidores cuando Molly inicia sesión en su cuenta. No es solo que nunca almacenemos su clave secreta, ni siquiera tenemos la oportunidad de adquirirla.
Esto es similar en concepto a cómo funciona Apple Pay. Su iPhone o Apple Watch le dice al terminal de pago que ha verificado su identidad en el dispositivo. The Verge señala que desde sus inicios, cuando los requisitos de seguridad eran mucho menos estrictos, LastPass no ha requerido que los usuarios de larga data actualicen sus contraseñas. Además, la información de texto sin formato almacenada por LastPass podría resultar riesgosa para los usuarios, incluidas las URL de los sitios web que visitan.
¿Qué pasa si usaste LastPass para almacenar la información de tu cuenta para un sitio porno especializado? ¿Alguien podría usar las cuentas de su compañía de servicios públicos para averiguar en qué área vive? ¿Saber que está utilizando una aplicación de citas gay pondría en peligro su libertad o su vida?
La opinión de 9to5Mac
Está claro que la brecha de seguridad de LastPass no solo fue mucho peor de lo que se reveló inicialmente, sino que la empresa está involucrada en una serie de prácticas que personalmente consideraría inaceptables. Estos incluyen almacenar una gran cantidad de datos personales en texto sin formato y hacer afirmaciones engañosas sobre su seguridad, como afirmar que 100 000 iteraciones de PBKDF2 son «más fuertes de lo habitual», cuando de hecho este es el estándar mínimo absoluto que podría considerarse seguro. 1Password claramente tiene un interés financiero en atacar a su competidor. Sin embargo, los argumentos de la empresa son válidos, especialmente cuando se trata de comparar una contraseña maestra independiente con el enfoque de clave secreta. Es similar a la forma en que iOS nunca sabe realmente su código de acceso o los detalles de Face ID: simplemente obtiene una respuesta de sí o no de Secure Enclave. Según lo que sabemos ahora, no consideraría a LastPass como un administrador de contraseñas. (Y sí, uso 1Password pero pago el precio completo como cualquier otro usuario). Afortunadamente, el concepto de contraseñas finalmente está saliendo y siendo reemplazado por claves de acceso. Esto se basa únicamente en la autenticación en el dispositivo, como explicamos anteriormente.
- Un sitio web o aplicación le pide que se identifique y pruebe su identidad.
- Su iPhone recibe esta solicitud y activa Face ID.
- Si su cara coincide, su iPhone le dirá al sitio web quién es usted y que su identidad ha sido verificada.
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
Visite 9to5Mac en YouTube para obtener más noticias de Apple: