AppleInsider puede ganar una comisión de afiliado en las compras realizadas a través de enlaces en nuestro sitio.
LastPass ha afirmado que se tardarían millones de años en descifrar la contraseña maestra de un usuario, pero una empresa rival afirma que el proceso no llevará ni de lejos tanto tiempo, y que podría hacerse por sólo 100 dólares.
LastPass, una conocida empresa de gestión de contraseñas, ha sido recientemente objeto de críticas por el ataque que sufrió en agosto;
Ahora, su rival, 1Password, afirma que LastPass no protege lo suficiente los datos de sus clientes;
Jeffrey Goldberg, principal arquitecto de seguridad de 1Password, explica en su blog la importancia de utilizar contraseñas generadas por máquinas en lugar de contraseñas generadas por los usuarios;
“Si tenemos en cuenta todas las contraseñas posibles de 12 caracteres, hay alrededor de 272 posibilidades. Probarlas todas llevaría millones de años. De hecho, llevaría mucho más tiempo”, escribe. “Pero la gente que descifra contraseñas creadas por humanos no lo hace así. Configuran sus sistemas para probar primero las contraseñas más probables.”
Goldberg señala que la mayoría de las contraseñas creadas por usuarios pueden descifrarse en menos de 10.000 millones de intentos mediante un proceso que cuesta unos 100 dólares;
Esto es una mala noticia para el usuario medio, que suele crear contraseñas más cortas y menos complejas que las generadas por una máquina;
Señala que 1Password añade una capa adicional de protección: la Clave Secreta. La clave secreta del cliente se crea en el dispositivo, nunca se envía a 1Password y es necesaria para descifrar los datos del usuario.
Por tanto, aunque en teoría un pirata informático pueda obtener la contraseña maestra de un usuario de 1Password, ésta es inútil sin la Clave Secreta.
El blog termina asegurando a los usuarios que 1Password ha ido más allá para proteger sus datos, incluso si los usuarios no siguen las mejores prácticas y utilizan contraseñas generadas por máquinas.
“No hemos sufrido ninguna brecha y no tenemos previsto que nos la infrinjan. Pero entendemos que tenemos que planificar para ser violados”, escribe Goldberg. “La clave secreta de 1Password puede no ser el aspecto más fácil de usar de nuestro diseño centrado en el ser humano, pero significa que podemos decir con plena confianza que sus secretos permanecerán seguros en caso de una violación”;
LastPass ha sido objeto de críticas por prácticas de seguridad cuestionables en el pasado;
En diciembre de 2021, los miembros de LastPass informaron de múltiples intentos de inicio de sesión utilizando contraseñas maestras correctas desde varios lugares. La compañía aseguró a los clientes que los ataques eran el resultado de contraseñas filtradas en brechas de terceros.