Se han reportado avisos sobre incidentes de seguridad en LastPass, que permitieron a los atacantes obtener acceso no autorizado a las contraseñas cifradas, provocando divulgación de información.
Los principales incidentes registrados fueron:
- Agosto de 2022, considerado el primer incidente registrado, en donde el atacante se dirigió a la infraestructura y los recursos del sistema afectado.
- Diciembre de 2022, se reveló una grave violación de datos que permitió a los atacantes obtener acceso a las bóvedas de contraseñas cifradas, esto sucedió como resultado de que el mismo adversario fue el que lanzó un segundo ataque a los sistemas.
A causa de los incidentes registrados LastPass hizo público un boletín de seguridad incluyendo recomendaciones para clientes con accesos gratuitos, premium y familiares. Al momento de proteger la bóveda de LastPass, los clientes que tienen en cuenta las mejores prácticas recomendadas se encuentran más protegidos contra los ataques de fuerza bruta. A continuación, compartimos dichas mejores prácticas:
- Contraseña maestra
Es importante que la contraseña maestra utilizada sea única y segura. LastPass utiliza esta contraseña para crear una clave de cifrado única para evitar divulgación de información confidencial. Cuanto más compleja y larga sea la contraseña, el cifrado se hace más fuerte, sin ella nadie, incluidos LastPass y los atacantes podrían tener acceso a datos en texto claro que se encuentren dentro de la bóveda del usuario.
Se recomienda utilizar las siguientes buenas prácticas al crear la contraseña maestra:
- Utilizar un mínimo de 12 caracteres, cuanto mayor longitud, mejor.
- Utilizar caracteres, mayúscula, minúscula, números y símbolos.
- Garantizar que la contraseña no sea reutilizada.
- No utilizar información personal.
- Para maximizar la seguridad, utilizar una contraseña maestra generada aleatoriamente (p.e.: LastPass posee un generador de contraseñas).
Nota: Para los clientes de LastPass Families deben garantizar de que todos los miembros de la cuenta Families sigan estas prácticas recomendadas. La seguridad de los elementos compartidos está determinada por la persona con la contraseña maestra más débil.
- Iteraciones para la contraseña maestra
LastPass utiliza la función de derivación de claves basada en contraseña (PBKDF2), dificultando que alguien pueda adivinar la contraseña de la cuenta a través de ataques de fuerza bruta. Cuantas más iteraciones de PBKDF2 sean aplicadas, más segura será la clave de cifrado y más difícil será adivinarla.
Se recomienda revisar y aumentar la configuración del recuento de iteración de contraseña maestra (se recomienda un valor de iteración de 600.000).
Nota: Si utiliza LastPass Free en dispositivos móviles, se debe iniciar sesión en la extensión web o bóveda web para cambiar el recuento de iteraciones, como se describe en el artículo de soporte.
- Evaluar seguridad de las contraseñas
Existen numerosas maneras de determinar la seguridad de las contraseñas, las mismas se detallan a continuación:
- Revisar la seguridad general de la contraseña a través del Panel de seguridad, ya que en él se visualiza la puntuación de seguridad, las alertas de supervisión de la Dark Web y todas las direcciones de correo electrónico supervisadas para detectar su participación en incidentes de seguridad de terceros.
- Activar el monitoreo de la Dark Web para evaluar direcciones de correo electrónico guardadas en los elementos de su bóveda. Puede obtener más información aquí.
Adicionalmente, para mayor información sobre cómo proteger las cuentas y mantener una buena seguridad de contraseñas leer el artículo de soporte sobre él Panel de seguridad.
- Autenticación multifactor (MFA)
La autenticación multifactor es una capa adicional de seguridad que puede habilitar dentro de la configuración de LastPass. Esto obliga a que exista un segundo paso de verificación para el acceso a la cuenta, adicional a la contraseña de acceso. Para ello se debe tener en cuenta las siguientes recomendaciones:
- Habilitar la autenticación multifactor (MFA) LastPass
- Si ya se encuentra habilitado, es posible regenerar el factor MFA en la configuración de LastPass con diferentes herramientas de su preferencia: LastPass Authenticator, Google Authenticator, Microsoft Authenticator o Grid.
- Utilizar LastPass Authenticator para almacenar códigos TOTP para aplicaciones externas y distintas de la bóveda de LastPass (p.e.: LinkedIn, Facebook, etc.).
Referencias:
- https://www.securityweek.com/lastpass-says-devops-engineer-home-computer-hacked/
- https://thehackernews.com/2023/02/lastpass-reveals-second-attack.html
- https://support.lastpass.com/help/security-bulletin-recommended-actions-for-free-premium-and-families-customers
- https://support.lastpass.com/help/how-do-i-change-my-password-iterations-for-lastpass
- https://support.lastpass.com/help/how-do-i-unpair-then-re-pair-my-lastpass-account-with-the-lastpass-authenticator
- https://support.lastpass.com/help/how-do-i-regenerate-a-key-for-the-google-authenticator-in-lastpass
- https://support.lastpass.com/help/reset-your-grid
- https://support.lastpass.com/help/how-do-i-edit-my-accounts-in-the-lastpass-authenticator