LastPass notificó hoy a sus clientes que ahora deben utilizar contraseñas maestras complejas con un mínimo de 12 caracteres para aumentar la seguridad de sus cuentas.
Aunque LastPass ha dicho repetidamente que existe un requisito de contraseña maestra de 12 caracteres desde 2018, los usuarios han tenido la posibilidad de utilizar una más débil.
«Históricamente, si bien una contraseña maestra de 12 caracteres ha sido la configuración predeterminada de LastPass desde 2018, los clientes aún tenían la posibilidad de renunciar a la configuración predeterminada recomendada y elegir crear una contraseña maestra con menos caracteres, si así lo deseaban», LastPass dijo en un nuevo anuncio hoy.
LastPass ha comenzado a imponer un requisito de contraseña maestra de 12 caracteres desde abril de 2023 para cuentas nuevas o restablecimientos de contraseñas, pero las cuentas más antiguas aún pueden usar contraseñas con menos de 12 caracteres. A partir de este mes, LastPass aplica el requisito de contraseña maestra de 12 caracteres para todas las cuentas.
Además, LastPass agregó que también comenzará a verificar contraseñas maestras nuevas o actualizadas con una base de datos de credenciales previamente filtradas en la web oscura para garantizar que no coincidan con cuentas ya comprometidas.
Si se encuentra una coincidencia, los clientes serán alertados a través de una ventana emergente de advertencia de seguridad y se les pedirá que seleccionen otra contraseña para bloquear futuros intentos de descifrado.
Como parte del mismo esfuerzo para aumentar la seguridad de la cuenta, LastPass también inició un proceso de reinscripción forzada de autenticación multifactor (MFA) en mayo de 2023, lo que provocó que muchos usuarios experimentaran importantes problemas de inicio de sesión y quedaran bloqueados de sus cuentas.
Acunetix es una solución integral de seguridad de aplicaciones web que le ayuda a abordar las vulnerabilidades en todos sus activos web críticos.
Conocer..
«Estos cambios incluyen exigir a los clientes que actualicen la longitud y la complejidad de su contraseña maestra para cumplir con las mejores prácticas recomendadas y solicitar a los clientes que vuelvan a registrar su autenticación multifactor (MFA), entre otros», dijo Mike Kosak, analista principal de inteligencia de LastPass.
«A partir de enero de 2024, LastPass impondrá el requisito de que todos los clientes utilicen una contraseña maestra con al menos 12 caracteres».
«El próximo mes, LastPass también comenzará a verificar inmediatamente las contraseñas maestras nuevas o restablecidas contra una base de datos de credenciales violadas conocidas para garantizar que la contraseña no haya sido expuesta previamente en la Dark Web».
Contraseñas maestras descifradas después de la violación de 2022
Estas medidas son el resultado directo de dos violaciones de seguridad que LastPass reveló en agosto de 2022 y noviembre de 2022.
En agosto, la compañía confirmó que su entorno de desarrollador fue violado a través de una cuenta de desarrollador comprometida después de que los atacantes piratearan la computadora portátil corporativa de un ingeniero de software. Durante la infracción, robaron el código fuente, información técnica y algunos secretos internos del sistema de LastPass.
La información robada en este incidente fue utilizada posteriormente por actores de amenazas en la infracción de diciembre cuando también robaron datos de la bóveda del cliente de sus depósitos cifrados de Amazon S3 después de comprometer la computadora de un ingeniero senior de DevOps utilizando una vulnerabilidad de ejecución remota de código para instalar un registrador de teclas.
En octubre de 2023, los piratas informáticos robaron 4,4 millones de dólares en criptomonedas de más de 25 víctimas utilizando claves privadas y frases de contraseña que podían extraer de las bases de datos de LastPass robadas en las infracciones de LastPass de 2022.
Según una investigación realizada por el desarrollador de MetaMask, Taylor Monahan y ZachXBT, se cree que los actores de amenazas ahora están descifrando contraseñas maestras robadas de LastPass para obtener acceso a la contraseña.
Usando este acceso, los actores de amenazas buscan frases de contraseña, credenciales y claves privadas de billeteras de criptomonedas y las usan para cargar las billeteras en sus propios dispositivos para drenarles todos los fondos.
LastPass afirma que su solución de gestión de contraseñas la utilizan actualmente más de 33 millones de personas y 100.000 empresas en todo el mundo.
Fuente: bleepingcomputer
