En 2022, el servicio de administración de contraseñas LastPass sufrió su última brecha importante, que resultó en la pérdida de los datos de la bóveda del cliente (consulte”LastPass comparte detalles de la brecha de seguridad”, 24 de diciembre de 2022). Meses después, la compañía finalmente proporcionó mucha más información sobre la infracción, qué datos se vieron comprometidos y cómo deberían responder los usuarios. La nueva información es útil, pero no hace que me arrepienta de haberme cambiado a 1Password.
En un entrada de blog cuidadosamente redactada, el director ejecutivo de LastPass, Karim Toubba, presenta una cronología más detallada de dos incidentes encadenados, con el primero preparando el escenario para el segundo. Luego dirige a los lectores a un par de boletines de seguridad con acciones recomendadas: uno para usuarios de LastPass Free, Premium y Families y otro para usuarios de LastPass Business. Finalmente, resume qué acciones ha tomado LastPass para proteger mejor sus sistemas. Aprecié especialmente la extensa lista de todos los tipos de datos a los que se accedió, con notas sobre qué campos se cifraron y cuáles no.
En particular, la compañía dice que no ha tenido noticias del atacante ni ha visto ninguna indicación de los datos que se están utilizando.
No ha habido contacto o demandas realizadas, y no se ha detectado ninguna actividad clandestina creíble que indique que el autor de la amenaza participa activamente en la comercialización o venta de cualquier información obtenida durante cualquiera de los incidentes.
Si está interesado en cosas de seguridad, vale la pena leer las diversas publicaciones, y LastPass ha hecho un trabajo mucho mejor al comunicarse esta vez, incluso si está atrasado. En particular, si aún usa LastPass, le recomiendo siguiendo los consejos de la empresa para:
Garantizar la solidez de su contraseña maestra Aumentar el número de iteraciones de la contraseña Activar o restablecer la autenticación multifactor Revisar el panel de seguridad Activar la supervisión de la dark web
LastPass no lo ha hecho aún puso las dos últimas opciones a disposición de los usuarios de LastPass Free, pero la compañía dice que las habilitará en breve. Curiosamente, LastPass ha aumentado drásticamente el número de iteraciones de contraseñas. Algunos usuarios de mucho tiempo todavía estaban establecidos en lo que ahora es un absurdo bajo de 5000, mientras que los usuarios más nuevos tenían 100 000 iteraciones. El valor predeterminado ahora es 600 000, eso es un gran cambio.
Me pregunto por lo que estará pasando Karim Toubba. Se incorporó a LastPass como director general en abril de 2022 y la primera infracción se produjo solo unos meses después, en agosto de 2022. Es probable que la empresa haya estado en modo de crisis desde entonces y el alcance de los cambios (¡combinado con la infracción real, por supuesto!) sugiere que su anterior postura de seguridad era problemática. Esperamos que los adultos estén ahora a cargo y estén tomando las medidas adecuadas para evitar futuras infracciones.
Cambiar a 1Password desde LastPass y Authy
Además de mi irritación con la interfaz de LastPass, la funcionalidad y confiabilidad, la brecha fue la gota que colmó el vaso, así que cambié a 1Password y importé mis datos de LastPass. Elegí el enfoque de exportar datos de LastPass e importarlos a 1Password porque la capacidad de importación directa de 1Password no funciona si tiene activada la autenticación multifactor en LastPass. No me sentía cómodo deshabilitando eso, incluso temporalmente.
No estoy del todo listo para eliminar todos mis datos de LastPass, pero eso está en mi lista una vez que esté seguro de que 1Password tiene todas las capacidades que quiero.. Me doy cuenta de que algunas personas no han estado contentas con los cambios en 1Password 8, pero como alguien que no usó versiones anteriores en particular, no me ha perturbado. Si bien no es perfecto, 1Password ha sido significativamente más elegante que LastPass, que nunca proporcionó nada parecido a una experiencia nativa de Mac o iOS. Eso fue especialmente cierto en las últimas semanas que usé LastPass, cuando sentí que la empresa estaba haciendo cambios rápidos en un esfuerzo por mostrar a los usuarios que estaba haciendo algo.
Me gusta especialmente usar mi Apple Watch para desbloquee 1Password en mi iMac 2020 de 27 pulgadas y mi reloj o Touch ID en mi MacBook Air M1. LastPass introdujo la autenticación multifactor basada en la aplicación hace un tiempo, pero nunca aceptó correctamente la entrada de su aplicación watchOS, lo que me obligó a sacar mi iPhone cada vez para confirmar el inicio de sesión en su aplicación iOS. Posteriormente, restablecí la autenticación multifactor de LastPass para usar una contraseña de un solo uso (TOTP) normal basada en el tiempo que almacené en 1Password, que la completa automáticamente cada vez que inicio sesión en LastPass en mi Mac, una clara mejora con respecto a tocar un botón. en la aplicación para iPhone de LastPass.
La compatibilidad de 1Password con TOTP ha sido una gran victoria. Empecé temprano con las aplicaciones de autenticación, cuando Google Authenticator era el único juego disponible. Cuando me enteré de que sus datos no se transferirían a un nuevo iPhone (ahora puede hacerlo si puede escanear un código QR en el dispositivo antiguo), cambié al Authy, que ha funcionado aceptablemente y se sincroniza en mis Mac, iPhone y iPad. (Probé LastPass Authenticator brevemente, pero solo está disponible para iPhone y iPad, y odio usar mi iPhone cuando inicio sesión en la Mac).
Authy proporciona el Authy Desktop para Mac, pero cada vez que quiero iniciar sesión en una cuenta que requiere autenticación de dos factores, tengo que iniciar Authy Desktop, buscar el sitio web (I tengo 28 cuentas), haga clic en un botón para copiar el código, vuelva a mi navegador web y pegue el código. Pensé en automatizar el proceso con Keyboard Maestro, pero no sería más que un frágil clic de mono. La forma en que 1Password autocompleta el TOTP como el siguiente paso en el proceso de inicio de sesión ha sido un gran alivio.
(Glenn Fleishman me recuerda que podría optar por usar el soporte multiplataforma de Apple para TOTP, pero que solo funciona dentro de Safari en macOS. Si usa otros navegadores o aplicaciones, debe abrir Safari > Preferencias > Contraseñas o el panel de configuración/preferencias de Contraseñas, autenticarse, buscar, hacer clic y copiar; consulte su artículo,”Agregar dos-Factor Codes to Password Entries in iOS 15, iPadOS 15, and Safari 15”, 7 de octubre de 2021. Y, por supuesto, luego está toda la vulnerabilidad del llavero de iCloud si le robaron su iPhone y su código de acceso; consulte “Cómo un ladrón con su iPhone Passcode Can Ruin Your Digital Life”, 26 de febrero de 2023.)
Mover mi configuración de autenticación de dos factores de Authy a 1Password ha sido laborioso y lento. Amazon Web Services fue el único servicio que me permitió registrar 1Password como un dispositivo de autenticación adicional. Para todas las demás cuentas, tuve que restablecer la autenticación de dos factores o apagarla y volver a encenderla. La amenaza de quedar completamente bloqueado de una cuenta es aterradora, por lo que tengo cuidado de agregar el nuevo TOTP tanto a 1Password como a Authy (nuevamente) antes de eliminar la cuenta anterior en Authy. Si bien no anticipo usar Authy después de configurar todo en 1Password, se siente como una copia de seguridad útil si el almacenamiento del TOTP en 1Password junto con las credenciales de la cuenta parece problemático. Recuerde registrar códigos de una sola vez o de”raspar”si un sitio los ofrece al habilitar la autenticación de dos factores; pueden ser un salvavidas si tiene una explosión TOTP.
Al igual que con la cobertura del Wall Street Journal de los robos de contraseñas de iPhone, he llegado a ver la violación de LastPass como una oportunidad para repensar mi enfoque de la seguridad de las contraseñas. No estaba del todo contento con LastPass antes de la infracción, pero no podía reunir el entusiasmo para cambiar. Al limpiar los duplicados y otros elementos no deseados en 1Password de forma orgánica, ya que necesito usar los sitios asociados, puedo deshacerme de una tarea que sería demasiado enorme para enfrentarla de una sola vez: tengo más de 900 inicios de sesión. En última instancia, tendré un mejor manejo de mis contraseñas que nunca.
Pero aún estaré feliz si la compatibilidad con las claves de acceso; consulte”Por qué las claves de acceso serán más simples y más seguras que las contraseñas”, 27 de junio de 2022 —se generaliza rápidamente de tal manera que no necesito todas estas contraseñas apestosas!