Contenido
En agosto pasado los responsables del gestor de contraseñas, LastPass, hicieron un comunicado en el que informaban a los usuarios del hackeo de su servicio. Ahora varios expertos en ciberseguridad aseguran que el problema tenía mucha más seriedad de lo que LastPass quería admitir. Todo esto parece indicar que las omisiones y medias verdades protagonizan el hackeo de LastPass.
En su momento quienes se encargaron de hacer pública la situación parecían restar importancia a la gravedad del hackeo. Por lo que las afirmaciones de los expertos acerca del caso ha dejado en entredicho a LastPass.
¿Por qué las omisiones y medias verdades protagonizan el hackeo de LastPass?
Ante el hackeo, el cual volvió a repetirse a finales de noviembre, LastPass aseguró que el atacante “podría intentar usar la fuerza bruta para averiguar tu contraseña maestra y descifrar las copias de la “bóveda” de datos que robó”. Sin embargo, igualmente ante este escenario indicó que: “sería extremadamente difícil” debido al tipo de cifrado que ofrece el gestor de contraseñas.
Asimismo, aseguraron que siguiendo las sugerencias del servicio, los atacantes se tomarían “millones de años averiguar tu contraseña maestra” con aplicaciones de fuerza bruta. Esta fue una de las declaraciones que han hecho que las omisiones y medias verdades protagonicen el hackeo de LastPass.
La respuesta de Jeffrey Goldberg, experto en ciberseguridad, a dicha afirmación le acusa de “muy engañosa”. Goldberg, que es de la empresa rival 1Password, señaló que: “las contraseñas creadas por humanos nunca se acercan a cumplir ese requisito”. Esto se debe a que intentan crear claves fáciles de recordar y eso implica que no sean contraseñas fuertes.
Por su parte el desarrollador y experto en ciberseguridad que ayudó a crear AdBlock ProWladimir Palant, dice que el comunicado de agosto no era transparente. Así como también mencionó que el requisito de los 12 caracteres no es tal: “yo puedo entrar con mi contraseña de ocho caracteres sin avisos o recomendaciones para cambiarlo”.
Mientras que Jeremi Gosney, otro experto en el área, acusó de “Mentira descarada” la afirmación de LastPass de no saber nada sobre tu contraseña (“zero knowledge”). Según Gosney, a pesar de que los usuarios creen que su bóveda es una especie de base de datos cifrada en la que todo el fichero está protegido, la realidad es la bóveda es un fichero de texto plano en el que son solamente algunos campos específicos los que están cifrados.
Descarga gratis el Observatorio Ecommerce 2021
Si deseas tener los datos más precisos del comercio electrónico y conocer las nuevas tendencias, descárgate gratuitamente el reporte oficial de la industria de Ecommerce en Perú https://bit.ly/3x0gQpk
Fuente: Xataka