LastPass reconoce un robo de datos, incluyendo contraseñas cifradas, y recomienda a los usuarios ...

Archivado
1, 2
La popular firma de gestión de contraseñas LastPass ha anunciado que atacantes no identificados han logrado hacerse con "una copia de seguridad de datos de las cajas fuertes de usuarios". Esto, en la práctica, implica que quien quiera que sean estas personas, ahora tienen en su poder las claves de un número indeterminado de personas. Afortunadamente, la copia de seguridad estaba cifrada, lo que debería proteger los datos o como mínimo dar tiempo para tomar medidas de protección.

El origen del suceso nos lleva a agosto, cuando LastPass comunicó de forma muy obtusa que alguien había entrado en sus sistemas, aunque sin llegar a extraer información. Cuatro meses más tarde, LastPass pudo observar un segundo ataque que al parecer solo se podía haber realizado utilizando "código fuente e información técnica" adquiridos durante el incidente de agosto. También se habrían extraído credenciales y claves de un empleado que después fueron utilizadas para acceder y descifrar volúmenes de almacenamiento en la nube usados como respaldo en el entorno de producción.

El anuncio de LastPass es bastante vago, y de hecho, ni siquiera queda claro cúando concretamente se produjo el robo. Tampoco comunica el número de usuarios potencialmente afectados.

Desde LastPass se asegura que los archivos conseguidos durante el ataque están cifrados y sería "extremadamente difícil" dar con las contraseñas necesarias para acceder a los mismos usando técnicas de fuerza bruta, pero todo depende de la calidad de la contraseña utilizada por cada usuario. El problema, como señala The Verge, es que los datos sin cifrar potencialmente obtenidos incluyen direcciones URL, por lo que, como mínimo, los atacantes o sus clientes podrían hacerse a la idea de los sitios visitados por cada persona para lanzar ataques de phising en caso de no poder dar con las contraseñas.

Asimismo, el servicio de almacenamiento al que accedieron los atacantes para cometer el robo de datos también incluía metadatos como nombres de empresa, direcciones de facturación, correos electrónicos, números de teléfono y las direcciones IP desde las que se accedía a LastPass. No está claro si esta información ha llegado a caer en manos de terceros. En cualquier caso, desde la compañía recomiendan cambiar la contraseña maestra de las cajas fuertes usando una clave dura y no utilizar una única contraseña para varios sitios.

Fuente: LastPass
Al final, la mejor manera de conservar las contraseñas de forma segura, es de forma física con libreta y lápiz como mi abuelo...
Siempre todo es "extremadamente difícil".
Nunca me he fiado de estos programas, sigo apuntando las pass en papel.
Se puede decir que son un poco HDP, van soltando que han entrado pero no, que pocos datos pero que tranqui y ahora que hay tiempo para tomar medidas.
SIRDRAK escribió:Al final, la mejor manera de conservar las contraseñas de forma segura, es de forma física con libreta y lápiz como mi abuelo...

así lo tengo yo, y una diferente para todo
¿Pero esto solo afecta a los que usen su nube, no? Los que tenemos nuestra base de datos en offline no...
Para los que comentan que ellos lo tienen en su libreta... este tipo de herramientas se usan a nivel empresarial, donde administradores de sistemas, por poner un ejemplo, tenemos que manejar cientos de servidores entre todos nuestros clientes.

Al final es mejor tener todo de manera local, y a ser posible no publicar el servicio a internet.
Todo lo que está online puede ser atacado, en mi caso, todas estas cosas en la nube me parecen el lugar perfecto en el que los crackers de todo el mundo focalicen sus ataques.
Manda narices! Que coñazo
Buah, cagada suprema. De todas las empresas del mundo, se supone que la tuya es la que no tiene que tener estos problemas. Va a tener suerte de que seguramente el 90% de sus clientes ni lo sabrán, porque sino es para caer en la bancarrota. Como para volver a fiarse.

Al final lo mejor es un gestor de contraseñas en local y fuera. A veces me dan ganas de pillar una suscripción a 1Password, pero con cosas así...

dFamicom escribió:Para los que comentan que ellos lo tienen en su libreta... este tipo de herramientas se usan a nivel empresarial, donde administradores de sistemas, por poner un ejemplo, tenemos que manejar cientos de servidores entre todos nuestros clientes.


Si usas un servicio externo fuera de tu dominio para guardar las credenciales de sistemas/redes/almacenamiento de tus clientes corporativos, es que eres un puto inconsciente (no digo tú, sino en general). Vamos, es casi hasta preferible tener un .txt que se vaya rulando entre compañeros, no me jodas [qmparto] [qmparto]
Server de KeePass/TeamPass vale, y todo dentro de la infraestructura de la empresa.

Un saludo,
katatsumuri escribió:
SIRDRAK escribió:Al final, la mejor manera de conservar las contraseñas de forma segura, es de forma física con libreta y lápiz como mi abuelo...

así lo tengo yo, y una diferente para todo

Otro por aquí, contraseñas distintas para todo y siempre apuntado en un cuaderno solo para eso.
SnakeElegido escribió:Buah, cagada suprema. De todas las empresas del mundo, se supone que la tuya es la que no tiene que tener estos problemas. Va a tener suerte de que seguramente el 90% de sus clientes ni lo sabrán, porque sino es para caer en la bancarrota. Como para volver a fiarse.

Al final lo mejor es un gestor de contraseñas en local y fuera. A veces me dan ganas de pillar una suscripción a 1Password, pero con cosas así...

dFamicom escribió:Para los que comentan que ellos lo tienen en su libreta... este tipo de herramientas se usan a nivel empresarial, donde administradores de sistemas, por poner un ejemplo, tenemos que manejar cientos de servidores entre todos nuestros clientes.


Si usas un servicio externo fuera de tu dominio para guardar las credenciales de sistemas/redes/almacenamiento de tus clientes corporativos, es que eres un puto inconsicente (no digo tú, sino en general). Vamos, es casi hasta preferible tener un .txt que se vaya rulando entre compañeros, no me jodas [qmparto] [qmparto]
Server de KeePass/TeamPass vale, y todo dentro de la infraestructura de la empresa.

Un saludo,


Totalmente de acuerdo, pero si trabajas en este sector seguro que has visto cosas peores... Yo también uso keepass de manera local sincronizado entre el equipo.

No obstante aquí entra el eterno debate de dónde es mas seguro mantener tu información/servicios, si en local o en la nube, y las compañías como Amazon o Microsoft se empeñan en vendernos sus bondades...
Esto me recuerda a anteriores noticias sobre robo de datos que había eolianos recomendando esta basura, habiendo aplicaciones mucho más robustas como KeePass. Que lo disfruten.

Solo les faltaba promocionar NordVPN para hacer el combo breaker.
KeePassXC + https://addons.mozilla.org/es/firefox/a ... xc-browser o https://chrome.google.com/webstore/deta ... adofidjkkk
Bitwarden manda.
Xd
Me fio de google/ms y poco mas.
Keepass en local (cifrado) y un par de copias de seguridad del fichero en HD externo y en cloud con MFA. Llamadme abuelo.
Veo que no soy el único que lo apunta en una libreta [qmparto] [qmparto] [qmparto]
Pondré todas mis claves en un único sitio en la web para que cuando entre algún hacker me pueda sacar todas las claves de golpe, me parece una buena idea.
cristiano.88 escribió:Bitwarden manda.


Con este he estado un tiempo y todo correcto, de momemto [fumeta]
Ni sé lo que es ésto.
La nube es el futuro.

El futuro de los hackers.


Keepass (local) con contraseña maestra de 15 o 20 caracteres incluyendo caractères especiales y aquí todos tranquilos.
Keepass es simplemente lo mejor.
SIRDRAK escribió:Al final, la mejor manera de conservar las contraseñas de forma segura, es de forma física con libreta y lápiz como mi abuelo...

Es la mejor forma. Además es muy cómodo si la libreta es pequeña la puedes llevar a todas partes y con una gomita la sujetas al móvil o la puedes llevar en la cartera con el DNI y las llaves.
También es buena idea ponerlo todo en una hojita de papel aunque queden apretadas y poner la hoja dentro de la funda del móvil. A poder ser con una funda transparente asi6suenpre te acuerdas de que está ahí y es fácil ver las contraseñas sin quitar la funda.

De todas formas lo mejor siempre será un postit en la pantalla del pc, así no te las olvidas sobretodo cuando los idiotas del departamento de informática te obligan a cambiarla cada 2x3.
SIRDRAK escribió:Al final, la mejor manera de conservar las contraseñas de forma segura, es de forma física con libreta y lápiz como mi abuelo...

Tampoco.
Se puede degradar, hacerse ilegible con el paso del tiempo, perderlo, en fin, mil cosas.
No hay un sistema perfecto.


JohnLeeHooker escribió:
SIRDRAK escribió:Al final, la mejor manera de conservar las contraseñas de forma segura, es de forma física con libreta y lápiz como mi abuelo...

Es la mejor forma. Además es muy cómodo si la libreta es pequeña la puedes llevar a todas partes y con una gomita la sujetas al móvil o la puedes llevar en la cartera con el DNI y las llaves.
También es buena idea ponerlo todo en una hojita de papel aunque queden apretadas y poner la hoja dentro de la funda del móvil. A poder ser con una funda transparente asi6suenpre te acuerdas de que está ahí y es fácil ver las contraseñas sin quitar la funda.

De todas formas lo mejor siempre será un postit en la pantalla del pc, así no te las olvidas sobretodo cuando los idiotas del departamento de informática te obligan a cambiarla cada 2x3.

Muchos no pillarán la ironía [qmparto] [plas]
Yo no las cambiaré, desde aqui ánimo a esos hackers a que entren en mi cuenta bancaria y me roben el préstamo hipotecario que tengo, que se lo lleven por favor, porque el único dinero que hay en mi cuenta, es el que debo en el banco, jejejejejje, to pa vosotros hackers.
jajajajajaja .... lo siento ... de verdad, pero el mismo dia que anunciaron este software ... en mi cabeza pensaba, "veremos que tardan en atacar a esta gente ... porque es el objetivo PERFECTO para robar datos ..." y zas,
JohnLeeHooker escribió:Es la mejor forma. Además es muy cómodo si la libreta es pequeña la puedes llevar a todas partes y con una gomita la sujetas al móvil o la puedes llevar en la cartera con el DNI y las llaves.
También es buena idea ponerlo todo en una hojita de papel aunque queden apretadas y poner la hoja dentro de la funda del móvil. A poder ser con una funda transparente asi6suenpre te acuerdas de que está ahí y es fácil ver las contraseñas sin quitar la funda.

Hombre, yo esto lo veo la mar de inconsciente. Te roban el móvil y van de regalo todas las contraseñas que usas...

¿Soy el único que utiliza una contraseña diferente para cada cosa pero memorizándolas todas?
Nunca me fie un pelo de estas webs, ni de guardarlas en los credenciales ni nada... Intento evitar todo esto (aunque igualmente, siempre eres susceptible de pishing o que te entren... No hay nada seguro en la vida)
Pero mi sistema de seguridad es ultramegacuasi infalible:
Las apunto en una libretita insignificante y la guardo en una estantería junto con otras libretitas sin nada apuntado, en mi casa ¿Quien va a pensar que eso está apuntado ahí?
Yo no valgo tanto, ellas tampoco XDDD

Si me entran a robar, seguramente se lleven la tele antes que una triste libreta xDDDD

El que nada tiene, nada teme XD

Edit: obviamente las más comunes las memorizo, esa libreta en mi cabeza también parece buen sitio xDD

Felices fiestas compis! [beer]

@BennBeckman y si viene un apagón eléctrico ya no tienes necesidad de guardar la contraseña de algo que ya no existe XDDD
Nada es para siempre.. pero se trata que tenga una ecuación de seguridad y durabilidad en el tiempo lo más alta posible.. XD
JohnLeeHooker escribió:De todas formas lo mejor siempre será un postit en la pantalla del pc, así no te las olvidas sobretodo cuando los idiotas del departamento de informática te obligan a cambiarla cada 2x3.

Me lo dices o me lo cuentas. [sonrisa]

Seguridad 100% real no fake un link mega que_entre_cualquiera.rar
Como dicen por ahí, papel y boli con una contraseña fácil de recordar para cosas de poca importancia aunque lo hackeen (registros en webs chorras para leer algo y donde no vuelves en tu vida), para el resto contraseña larga alfanumérica con simbolos y mayúsculas y minúsculas más seguridad de dos pasos. Y aún así no es 100% seguro.

También recomendable tener un mail para los registros en esas webs chorras y un mail exclusivo para las cosas importantes que nunca se use publicamente.

Lo malo es que todavía hay webs de cosas importantes donde limitan las contraseñas a sólo números y letras, máximo 8 carácteres o sólo unos pocos símbolos o no aceptan la eñe, etc
SuperPadLand escribió:Lo malo es que todavía hay webs de cosas importantes donde limitan las contraseñas a sólo números y letras, máximo 8 carácteres o sólo unos pocos símbolos o no aceptan la eñe, etc

En los sistemas de acceso del trabajo (VPNs, software de acceso al sistema de gestión de los empleados) no te dejan poner caracteres especiales, solo letras y números, me siento seguro.
@Sr Kenobi a 205 niños rusos les gusta este comentario. [qmparto]
pacopolo escribió:
JohnLeeHooker escribió:Es la mejor forma. Además es muy cómodo si la libreta es pequeña la puedes llevar a todas partes y con una gomita la sujetas al móvil o la puedes llevar en la cartera con el DNI y las llaves.
También es buena idea ponerlo todo en una hojita de papel aunque queden apretadas y poner la hoja dentro de la funda del móvil. A poder ser con una funda transparente asi6suenpre te acuerdas de que está ahí y es fácil ver las contraseñas sin quitar la funda.

Hombre, yo esto lo veo la mar de inconsciente. Te roban el móvil y van de regalo todas las contraseñas que usas...

¿Soy el único que utiliza una contraseña diferente para cada cosa pero memorizándolas todas?


El compañero está de cachondeo.
¿Cuántas veces van ya que roban las claves de este tipo de servicios? Hasta me suena que no es la primera vez que el propio LastPass sufre el robo...
pacopolo escribió:
¿Soy el único que utiliza una contraseña diferente para cada cosa pero memorizándolas todas?


Eres el único que usa pocas webs, o bien tiene memoria prodigio. :p
¿A todos los que decís lo del Keepass teneis el servidor actualizado de forma constante y bien hecho? Porque a mi me parece que la forma más fácil de comerse un hack a lo tonto es que te pillen sin el parche de seguridad de turno. La cantidad de gente que pillan por no actualizar las cosas es mucha.
Mas bien deberian llamarse lostpass [carcajad]
banderas20 escribió:
pacopolo escribió:
¿Soy el único que utiliza una contraseña diferente para cada cosa pero memorizándolas todas?


Eres el único que usa pocas webs, o bien tiene memoria prodigio. :p


No hace falta tener ni memoria prodigio ni pocas contraseñas. Puedes tener una única en cada servicio y a la vez recordarlas todas incluso aunque sean mil.

Lo he explicado varias veces en el foro. Va así la cosa:

Una parte general que siempre se va a repetir tipo: g25%Y25^^h. Eso es complejo y puedes recordarlo, va a ser siempre lo mismo.

Ahora añades una parte específica para cada servicio. Por ejemplo usando la primera letra y las dos últimas del nombre del servicio. Digamos que para ElOtroLado sería "EDO" y lo añades a la parte genérica: g25%25^^YhEDO. Para hotmail pues g25%25^^Yhhil. Para... bueno, ya se entiende.


Además puedes hacerlo todo lo sencillo o complejo que quieras. Por ejemplo haciendo usando la parte genérica g25%Y25^^h y añadiendo las tres letras mezcladas entre la parte genérica. Para elotrolado.net(que usaríamos EDO) ge25%Yd25^^ho. Así incluso si viesen una contraseña tuya nadie se daría cuenta que estás usando letras referentes al sitio en cuestión. O lo simplificas si te da pereza teclear eso. Ahí ya cada uno a la suya.

Listo. En 30 segundos vas a poder recordar miles de contraseñas complejas y diferentes porque solo tienes que recordar una parte común a todas. El resto para hacerla única en cada web no tienes que recordarlo, solo leerlo.
Venga, esto siempre fue un chiste, como las aplicaciones que te permiten guardar tu tarjeta de credito en tu celular. Lo unico confiable es lo físico
Jamás he entendido porqué la gente usa gestores de contraseñas de compañías que no conocemos en muchos casos, que no sabemos quién hay detrás, si tienen infraestructura y sistemas suficiente capaces de impedir ataques o si van a cerrar dentro de unos meses, por ejemplo.

Yo uso el gestor de contraseñas de Google integrado en Chrome y tan contento... El día que alguien logre infiltrarse el Google y saltarse sus sistemas, el mundo habrá muerto y ya no importará nada, jajajajaja.

¿Cualquier "compañuja" de estas va a ser mas segura que Google o Microsoft para estos temas?

Si, Google puede ver mis contraseñas... pero también lo podrían hacer esas compañías, y no sabemos quién hay detrás de ellas, así que...

Solo hay 2 opciones válidas:
1) Te las anotas en un papel y confías en no perderlo o en tu memoria
2) Las guardas en Google o Microsoft.

Lo demás, chorradas.
jberto escribió:Jamás he entendido porqué la gente usa gestores de contraseñas de compañías que no conocemos en muchos casos, que no sabemos quién hay detrás, si tienen infraestructura y sistemas suficiente capaces de impedir ataques o si van a cerrar dentro de unos meses, por ejemplo.

Yo uso el gestor de contraseñas de Google integrado en Chrome y tan contento... El día que alguien logre infiltrarse el Google y saltarse sus sistemas, el mundo habrá muerto y ya no importará nada, jajajajaja.

¿Cualquier "compañuja" de estas va a ser mas segura que Google o Microsoft para estos temas?

Si, Google puede ver mis contraseñas... pero también lo podrían hacer esas compañías, y no sabemos quién hay detrás de ellas, así que...

Solo hay 2 opciones válidas:
1) Te las anotas en un papel y confías en no perderlo o en tu memoria
2) Las guardas en Google o Microsoft.

Lo demás, chorradas.


[facepalm] No se trata de que Google vea tus contraseñas o de que "se infiltren el Google" [facepalm] .
Tus contraseñas no están seguras así tampoco porque puedes perder un dispositivo (o que te lo roben) y acceder a todas ellas o simplemente que te entren en tu cuenta de Google y oh, sorpresa: https://passwords.google.com
comentario oportunista al canto pero es lo que hay. [angelito]

por este tipo de cosas no me convence utilizar "cajas fuertes para contraseñas" y menos aun en nube.

si te abren esta caja acceden a todas las demas cuentas que se te haya ocurrido meter dentro. mala idea.

por eso puestos a montar un "almacen", prefiero hacerlo a la antigua. ficherito que me guardo yo y tengo controlado yo.
Pero hombre, con lo fácil que es usar papel y lápiz para estas cosas ... [facepalm]
Debo ser muy paranoico:
Guardo todos mis pass en Keepass. 3 diferentes para diferentes usos
El keepass solo lo tengo en el NAS de casa en un volumen encriptado y accedo con share.
Tengo backup en cloud de la particion encriptada en un servicio de alta privacidad con otro encriptado (doble encriptado)
Tengo un backup offline que hago cada x meses con un USB de cifrado por pinpad fisico y guardado en una caja fuerte fuera de mi casa.

Edit: [facepalm] [facepalm] Me he leido a mi mismo
Y si, para las webs poco importantes, desde el movil uso el sync de brave... que es tan seguro o menos que lastpass. XD que hironias de la vida.
Leiru escribió:Debo ser muy paranoico:
Guardo todos mis pass en Keepass. 3 diferentes para diferentes usos
El keepass solo lo tengo en el NAS de casa en un volumen encriptado y accedo con share.
Tengo backup en cloud de la particion encriptada en un servicio de alta privacidad con otro encriptado (doble encriptado)
Tengo un backup offline que hago cada x meses con un USB de cifrado por pinpad fisico y guardado en una caja fuerte fuera de mi casa.

Edit: [facepalm] [facepalm] Me he leido a mi mismo
Y si, para las webs poco importantes, desde el movil uso el sync de brave... que es tan seguro o menos que lastpass. XD que hironias de la vida.



Bastante más seguro que esa movida que te montas es recordar las tres contraseñas y cambiarlas cada cierto tiempo. Que son 3 contraseñas, por dios xD.
JohnLeeHooker escribió:
Leiru escribió:Debo ser muy paranoico:
Guardo todos mis pass en Keepass. 3 diferentes para diferentes usos
El keepass solo lo tengo en el NAS de casa en un volumen encriptado y accedo con share.
Tengo backup en cloud de la particion encriptada en un servicio de alta privacidad con otro encriptado (doble encriptado)
Tengo un backup offline que hago cada x meses con un USB de cifrado por pinpad fisico y guardado en una caja fuerte fuera de mi casa.

Edit: [facepalm] [facepalm] Me he leido a mi mismo
Y si, para las webs poco importantes, desde el movil uso el sync de brave... que es tan seguro o menos que lastpass. XD que hironias de la vida.



Bastante más seguro que esa movida que te montas es recordar las tres contraseñas y cambiarlas cada cierto tiempo. Que son 3 contraseñas, por dios xD.


tengo 87 contraseñas repartidas en 3 keepas todas diferentes de mas 13 caracteres de generacion aleatoria... XD acuerdate tu :D
@SuperPadLand Guardar tus contraseñas en el Bloc de Notas de Windows o App similares en android no son viables o seguras ? 🤔 Yo asi lo hago y nun he tenido problemas incluso en la app Documentos de Google.
En mi caso lo que hago es guardar las claves y siempre hay un digito que no es correcto, yo tengo mi propio algoritmo y se identificar cual es el correcto, aunque me robaran los datos las claves no son correctas, aparte de esto solo lo tengo en un gestor que no tiene modo online
50 respuestas
Archivado
1, 2
Volver a Internet