La contraseña de tercera persona popular Manager LastPass reveló ayer que puede manar se ha cortado y que algunos usernames del E-mail y contraseñas principales pudieron haber sido robados. ¿Esto lo significa es hora de emigrar a otra contraseña Manager, o aún abandona el concepto entero de la gerencia en línea de la contraseña para una solución del pluma-y-papel?

La cámara acorazada de la contraseña de LastPass en Firefox. (Crédito: Inc., LastPass)

Dado los hechos de la situación del blog de LastPass fije explicar qué sucedió, yo diría no a dar a LastPass el cargador, y definitivamente no a abandonar a la gerencia digital de la contraseña para un “poco libro negro.”

Dejar un rastro de papel es una idea horrenda por dos razones. Ha ido el primer es que si usted pierde su libro o consigue robado, él y usted tiene una ocasión estadístico minúscula de recuperarla. El otro es que el libro sí mismo ofrece la seguridad cero. Si el alguien diferente lo ve, sus contraseñas se comprometen aunque el libro no consiguen robadas. De cualquier ángulo, es justo una mala idea.

Antes de que consiga a porqué es ACEPTABLE pegarse con LastPass, aunque, repasemos algunas de las razones que la gente utiliza a encargados de tercera persona de la contraseña en el primer lugar. Aunque los cinco browsers principales ahora ofrecen un cierto método de protección y gerencia de contraseña, incluyendo syncing entre los dispositivos del mutliple, mucha gente se han reunido a la protección de contraseña de tercera persona porque tiende para ser browser-agnóstica. Usted puede tenerle acceso de cualquier browser, incluyendo en su Smartphone, y los vendedores de tercera persona proporcionan a menudo más características, tales como seguridad más fuerte, agrupar de la contraseña, generación de la contraseña, nota-tomar contraseña-asociado, y contraseña que comparte a los individuos confiados en.

De hecho, una de las mejores razones de utilizar LastPass es que utiliza 256 el cifrado del pedacito AES para proteger sus datos, y la compañía se centra solamente en el abastecimiento de la protección de contraseña. LastPass también utiliza unidireccional salado hashes, que no es un concoction patata-basado. “Saló el picadillo” en términos cyptographic significa que los números binarios al azar están utilizados conjuntamente con una contraseña para asegurarse de que la transferencia de datos es legítima y el no ser spoofed. Evita que las tablas pregenerated de la contraseña sean utilizadas para acceder al sistema, porque la parte binaria al azar del picadillo sería demasiado grande fácilmente al spoof.

LastPass conocido en su blog que anunciaba la abertura posible que la compañía ha tomado la oportunidad de poner en ejecución saló la protección del picadillo 256-AES con PBKDF2. Ésta es una manera muy fuerte del cifrado, y nos trae a porqué sigue siendo una buena idea continuar utilizando LastPass. Desemejante de datos recientes del alto-perfil el hurto encajona la participación de las compañías como Sony, Ashampoo, Verizon, y Epsilon, LastPass ha sido muy próximo con la información sobre los pasos que la compañía ha tomado para asegurar la protección continuada del usuario. Esto incluye la observación de que a pesar de evidencia fina que la abertura posible había afectado muchos clientes, LastPass decidido para tomar la medida preventiva de reajustar a todos principal, y no apenas los de usuarios en el servidor afectado.

El párrafo dominante del poste del blog de LastPass que anuncia la abertura posible es éste:

“En este caso, no podríamos encontrar que causa de la raíz. Después de cavar en la anomalía, encontramos una anomalía similar pero más pequeña del tráfico que emparejaba a partir de la una de nuestras bases de datos en la dirección opuesta (más tráfico fue enviado de la base de datos comparada a qué fue recibida en el servidor). Porque no podemos explicar esta anomalía tampoco, vamos a ser paranoicos y a asumir el peor: que los datos que almacenamos en la base de datos fue alcanzado de alguna manera. Sabemos que áspero la cantidad de datos transferidos y de ése él es bastante grande tener direcciones del E-mail de la gente transferida, la sal del servidor, y su contraseña salada hashes de la base de datos. También sabemos que la cantidad de datos tomados no es remotamente bastante haber tirado de las gotas cifradas de los datos de muchos usuarios. “

Así pues, si se asume que LastPass está siendo directo y no está mintiendo, de la declaración el sentido siguiente de las marcas también:

“Si usted tiene un fuerte, la frase no-diccionario-basada de la contraseña o del paso, ésta no debe afectarle--la amenaza potencial aquí bruto-está forzando su contraseña principal usando palabras del diccionario, después yendo a LastPass con esa contraseña a conseguir sus datos. Desafortunadamente no cada uno escoge una contraseña principal que sea inmune a forzar bruto.

“Al contador que la amenaza potencial, nosotros va a forzar cada uno para cambiar sus contraseñas principales. Además, vamos a desear una indicación que usted sea usted, por cualquiera que se asegura de que usted esté viniendo de un bloque del IP que usted ha utilizado antes o de validar su dirección del E-mail. “

Una vez más honradez asumida de LastPass--cuál obviamente puede ser demasiado para alguna gente--aparece que LastPass está tomando medidas extremas de proteger a todos sus usuarios contra qué potencialmente pudo haber sido una abertura de los datos. Otro Reason que LastPass pudo requerir a todos los usuarios reajustar sus contraseñas es que la compañía no tiene acceso a la sal hashes en sus propios servidores. No podrían ver sus contraseñas si desearon a.

Es esta clase de franqueza directa sobre las aberturas de los datos de las cuales otras compañías harían bien para aprender. Las aberturas de los datos son inevitables. No hay cosa tal como un sistema a toda prueba, si estamos hablando de actualizaciones de la definición del virus de la seguridad o estamos asegurando datos sobre un servidor. Pero como de nuestros datos personales se almacena cada vez más para arriba en la nube, qué distinguirá las corporaciones responsables y las compañías las imprudentes son comunicación clara y rápida sobre mejoras de la seguridad y aberturas de los datos.

Historias relacionadas
LastPass (revisión)
LastPass Pocket para USB y el uso fuera de línea (transferencia directa x86 | x64)
Cómo evitar de compartir el Info personal en línea
Estudio: Causa de la negligencia de la mayoría de las aberturas de los datos