En 2022, LastPass enfrentó un importante ataque después de que los hackers obtuvieran acceso a datos sensibles de usuarios a través de una vulnerabilidad encontrada en la computadora de uno de los ingenieros que trabajan para la compañía. Más de dos años después de este incidente, LastPass ha anunciado nuevas medidas para proteger mejor los datos de los usuarios, quienes ahora deberán establecer una contraseña maestra más fuerte.
LastPass ahora requiere una contraseña maestra más fuerte
En una publicación de blog el miércoles, LastPass dice que ahora se pedirá a los usuarios que establezcan una nueva contraseña maestra para proteger su cuenta en la plataforma. Esta nueva contraseña debe tener al menos 12 caracteres, mientras que anteriormente la contraseña maestra solo necesitaba tener 8 caracteres.
Según la compañía, aunque el Instituto Nacional de Normas y Tecnología (NIST) dice que las contraseñas deben tener al menos 8 caracteres, técnicas más avanzadas de craqueo de contraseñas y fuerza bruta han motivado a la compañía a establecer un nuevo estándar más fuerte. La contraseña también debe contener al menos un carácter especial, un número y una letra en mayúscula.
La compañía refuerza que desde el año pasado, todos los usuarios nuevos o los usuarios existentes que necesitaron restablecer su contraseña maestra ya se les pidió que establecieran una contraseña de 12 caracteres. Con el cambio de hoy, se requerirá que todos actualicen su contraseña maestra de LastPass. LastPass también dice que revisará una base de datos para asegurarse de que la nueva contraseña no se haya filtrado antes.
Al hacer cumplir ahora el requisito mínimo de una contraseña maestra de 12 caracteres, junto con los aumentos de iteración de PBKDF2 que entregamos a principios de este año, estamos ayudando proactivamente a nuestros clientes a crear claves de cifrado más fuertes y resistentes para acceder y cifrar sus datos de bóveda de LastPass.
Un importante incidente de seguridad
LastPass no menciona explícitamente el incidente de seguridad que afectó a la compañía en 2022, diciendo solo que los cambios “se están implementando en respuesta al entorno de amenazas cibernéticas en constante cambio”.
En ese momento, los hackers obtuvieron acceso a datos como contraseñas, nombres, correos electrónicos, direcciones, números de teléfono y más de los clientes de LastPass. El año pasado, LastPass reveló que las credenciales de los servidores de Amazon AWS utilizados por la compañía fueron robadas a un ingeniero de DevOps a través de una vulnerabilidad encontrada en la plataforma de medios Plex.
Más de 15 millones de contraseñas fueron comprometidas. Tras el incidente, LastPass ha tomado una serie de medidas para prevenir futuros ataques. El ingeniero recibió ayuda para fortalecer la seguridad de su red personal, mientras que se agregaron nuevas autenticaciones multifactoriales a los sistemas de LastPass.
Si eres usuario de LastPass, asegúrate de actualizar tu contraseña maestra de inmediato. Puedes obtener más información sobre LastPass en su sitio web oficial.
FTC: Utilizamos enlaces de afiliados para ganar ingresos. Más.