LastPass hackeado: cambie su contraseña maestra, habilite la autenticación multifactor

LastPass lanzó hoy un aviso de seguridad en su blog para informar a los usuarios que sus servidores fueron pirateados y que algunos datos fueron robados. Aquí hay un vistazo a lo que dijo LastPass, cómo cambiar su contraseña maestra y habilitar la autenticación multifactor en buena medida.

LastPass Hacked

en un entrada en el blog, LastPass dio algunos detalles limitados sobre lo que sucedió:

Queremos notificar a nuestra comunidad que el viernes, nuestro equipo descubrió y bloqueó actividades sospechosas en nuestra red. En nuestra investigación, no hemos encontrado evidencia de que se hayan tomado datos cifrados de la bóveda del usuario, ni de que se haya accedido a las cuentas de usuario de LastPass. Sin embargo, la investigación ha demostrado que las direcciones de correo electrónico de la cuenta LastPass, los recordatorios de contraseña, las sales del servidor por usuario y los hashes de autenticación se vieron comprometidos.

Estamos seguros de que nuestras medidas de cifrado son suficientes para proteger a la gran mayoría de los usuarios. LastPass fortalece el hash de autenticación con una sal aleatoria y 100,000 rondas de PBKDF2-SHA256 del lado del servidor, además de las rondas realizadas del lado del cliente. Este fortalecimiento adicional hace que sea difícil atacar los hashes robados con una velocidad significativa.

La compañía también dijo: “Estamos exigiendo que todos los usuarios que inician sesión desde un nuevo dispositivo o dirección IP verifiquen primero su cuenta por correo electrónico, a menos que tenga habilitada la autenticación multifactor. Como precaución adicional, también solicitaremos a los usuarios que actualicen su contraseña maestra ".

Una cosa que es bastante irritante para muchos usuarios es que están encontrando esta noticia en los sitios web. Como la compañía también dijo en su publicación que se están enviando correos electrónicos a todos los usuarios sobre el incidente de seguridad. Al momento de escribir esto, no he recibido uno, y por el aspecto de los comentarios en el blog de LastPass, tampoco tengo muchos otros usuarios.

Cambie su contraseña maestra de LastPass

Para cambiar su contraseña maestra, y haga clic en Configuración de la cuenta en el panel izquierdo.

Luego, en la ventana Configuración de la cuenta, haga clic en Cambiar contraseña maestra en la sección Credenciales de inicio de sesión.

Eso lo llevará a la página de Restablecimiento de contraseña donde simplemente puede seguir las instrucciones en pantalla para cambiar su contraseña maestra. Durante el proceso, LastPass volverá a cifrar todo y le enviará un correo electrónico de verificación de que ha cambiado el maestro.

Habilitar la autenticación multifactor para LastPass

Mientras lo hace, le recomendamos que habilite la autenticación multifactor para su cuenta de LastPass. Agrega una capa adicional de seguridad a su cuenta y le dará más tranquilidad de que sus contraseñas son seguras.

En su declaración de hoy, LastPass dijo: "Estamos exigiendo que todos los usuarios que inicien sesión desde un nuevo dispositivo o dirección IP verifiquen primero su cuenta por correo electrónico, a menos que usted tenga autenticación multifactorial habilitado ".

Te mostramos cómo Habilitar la autenticación de dos factores de LastPass Hace unos pocos años. El proceso es extremadamente simple y no hay mejor manera de asegurar su cuenta de LastPass. Honestamente, en el clima en línea que tenemos hoy, habilitar la autenticación de dos factores realmente ya no es opcional si desea mantener sus cuentas en línea seguras. Hemos hablado de esto en profundidad. aquí en groovyPost y planeamos centrarnos en esto aún más en las próximas semanas.

Para habilitar la autenticación de dos factores o multifactor en Lastpass, simplemente vaya a Configuración de cuenta> Opciones de multifactor y seleccione el método que desea usar... Google Authenticator es probablemente el más fácil.

Hay otros servicios que los usuarios que tienen una cuenta Premium ($ 12 / año) pueden usar como escáneres de huellas digitales y llaves USB.

Actualización 16/06/2015:

Hoy finalmente recibí un correo electrónico de LastPass sobre el problema de seguridad. Es breve y no da muchos más detalles de lo que ya sabemos.

Estimado usuario de LastPass:

Queremos alertarle de que, recientemente, nuestro equipo descubrió e inmediatamente bloqueó actividades sospechosas en nuestra red. No se tomaron datos cifrados de la bóveda del usuario, sin embargo, se comprometieron otros datos, incluidas las direcciones de correo electrónico y los recordatorios de contraseña.

Estamos seguros de que los algoritmos de cifrado que utilizamos protegerán suficientemente a nuestros usuarios. Para garantizar aún más su seguridad, solicitamos la verificación por correo electrónico al iniciar sesión desde un nuevo dispositivo o dirección IP, y solicitaremos a los usuarios que actualicen sus contraseñas maestras.

Pedimos disculpas por las molestias, pero en última instancia creemos que esto protegerá mejor a los usuarios de LastPass. Gracias por su comprensión y por usar LastPass.

Saludos,
El equipo de LastPass

En general, esto no parece ser motivo de pánico, ya que las contraseñas almacenadas en su bóveda están bien protegidas y no deberían haberse visto comprometidas. Sin embargo, definitivamente querrá cambiar su Contraseña maestra y habilitar la Autenticación multifactorial lo antes posible.