La notícia que la seguretat de la xarxa LastPass s’ha vist compromesa és, per descomptat, un problema greu. El fet que l’empresa que s’està incomplint era la que proporcionava un servei de gestió de contrasenyes que augmenta la gravetat en un graó (o deu). Llavors, per què sóc jo, algú que ha començat una carrera a l’hora d’escriure sobre seguretat informàtica, sense treure’m els cabells? Més enllà del fet que no en tinc cap per tirar endavant, l’incompliment de LastPass no és tan gran per a alguns com per a altres.
Un portaveu de LastPass ens explica que no hem trobat cap evidència que es prenguessin dades xifrades de magatzem d'usuari ni que es pogués accedir als comptes d'usuari de LastPass. Llavors, de quina qüestió hi ha, potser us pregunteu: on és el risc? Doncs és doble com ho veig. En primer lloc, atès que s’han compromès les adreces de correu electrònic i els recordatoris de contrasenya associats, m’esperaria veure intents de pesca específics en forma de missatges falsos de restabliment de contrasenya mestra. M’agradaria pensar que no em cauria en aquells.
com fer marges a google docs
Pel que fa al segon risc, les contrasenyes mestres febles estaran actualment sotmeses a intents d’esquerda de força bruta, cortesia de les sals per usuari del servidor i accedint als hash d’autenticació. Pel que fa a aquests intents de cracking, el fet que LastPass enforteixi aquests hash d’autenticació amb una sal aleatòria i produeixi 100.000 rondes addicionals de PBKDF2-SHA256 del servidor per a una bona mesura fa que sigui més difícil trencar-los. Tanmateix, si la contrasenya mestra és pobra, continuarà oberta als atacs de força bruta; només trigarà una mica més a trencar-lo.
Per tant, LastPass obliga a canviar la contrasenya mestra a la majoria d’usuaris i demana verificació per correu electrònic a aquells que inicien sessió des d’un nou dispositiu o adreça IP. Tanmateix, no canviaré la meva contrasenya mestra, ni tampoc (fem una ullada) durant 442 dies, ja que és aleatòria, complexa, té més de 25 caràcters, no s’utilitza en cap altre lloc i ho recordo de memòria. A més, està recolzat per les dues paraules màgiques següents: autenticació multifactor.
Boom! Pel que fa a mi, tot aquest esforç per entrar a la perifèria de la xarxa LastPass no serveix de res perquè faig servir una contrasenya mestra forta recolzada per l’autenticació multifactor. Fins i tot si la meva contrasenya mestra es comprometés d’alguna manera, l’atacant hauria d’accedir al meu YubiKey (un testimoni físic) per desxifrar la meva volta de contrasenya. Aquests paràmetres avançats són gratuïts i estan disponibles per als usuaris des de fa temps; a més, no heu de comprar un YubiKey; si voleu, podeu utilitzar una aplicació de descàrrega gratuïta com Google Authenticator. Per què no utilitzaríeu l’autenticació de dos factors (2FA) en cap lloc o servei on s’ofereixi? No, de debò?
Parlant de configuracions avançades, n’hi ha un altre que faig servir que em proporciona una altra capa de confiança en què les meves dades siguin raonablement segures amb LastPass, i això és un bloqueig d’accés geogràfic. Podeu establir restriccions de país que us permetin decidir els països des d’on es pot accedir al vostre magatzem de contrasenyes. Ho mantinc tancat al Regne Unit tret que viatgi a l’estranger, en aquest cas habilito aquesta ubicació específica abans de marxar. Ah, i tampoc no permeto els inicis de sessió des de les xarxes Tor. Paranoic, molt? No, només és assenyat restringir l'accés a aquestes claus del regne. Com també ho hauries de ser.
El que més em preocupa del compromís LastPass no és, curiosament, el compromís en si, sinó la seva resposta; i especialment la dels mitjans de comunicació, tant professionals com socials. Sembla que hi ha una sensació subjacent d’alegria a l’hora de donar puntades de peu a LastPass, i hi ha molts informes de tipus que us han dit. Però, què ens vau dir exactament? Què ha passat exactament aquí? No hem vist compromeses les dades de contrasenya xifrades pel que podem veure, i LastPass ha estat força transparent a l’hora de divulgar l’esdeveniment i establir mesures per garantir la confiança de l’usuari.
Què faríem els que no ho desitgin? Podeu tornar a la ploma i al paper, o una solució més tècnica per encriptar-la? Els he vist suggerits, i cap dels dos redueix el risc per al Joe mitjà, de fet tot el contrari. Potser us mudareu a un proveïdor de gestió de contrasenyes diferent Una vegada més, com us ajuda això quan no sabeu com respondrien quan (i no si) pateixen una infracció? Com a mínim, ja sabeu que LastPass està a l’abast de la resposta a l’incompliment.
Per a mi, un administrador de contrasenyes continua sent l’opció més segura per a la majoria de la gent i, si seguiu el meu exemple i combina una contrasenya mestra forta amb autenticació multifactor i algunes opcions de bloqueig d’inici de sessió, reduïu el risc de compromís tant com sigui humanament possible.
I per això, estimat lector, és per això que no necessito canviar la contrasenya mestra; o el meu gestor de contrasenyes.
