Administradores de contraseñas: un trabajo en progreso a pesar de su popularidad
A finales de 2022, LastPass informó otro incidente de seguridad y, mientras marcamos un día para cambiar las contraseñas, Dan Raywood pregunta si otra pieza de software de ciberseguridad hubiera sufrido tantos incidentes de seguridad, ¿los usuarios ya se habrían rendido?
A finales de 2022, el proveedor de autenticación LastPass notificó a los usuarios y al mundo en general sobre un incidente de seguridad donde "una parte no autorizada obtuvo acceso a un servicio de almacenamiento de terceros basado en la nube, que LastPass utiliza para almacenar copias de seguridad archivadas de... datos de producción".
El incidente generó titulares en todo el mundo, incluso en Con conexión de cable, que criticó duramente las acciones de LastPass o, para ser más honesto, su falta de respuesta a preguntas esenciales, acusándolo de no proporcionar "información adicional a clientes confundidos y preocupados".
Infracción de LastPass: qué, cuándo y cómo
El incidente ocurrió cuando un actor de amenazas accedió a un entorno de almacenamiento basado en la nube, aprovechando la información obtenida de un incidente que había revelado previamente en agosto de 2022. “Si bien no se accedió a datos de clientes durante el incidente de agosto de 2022, se reveló parte del código fuente e información técnica. robado de nuestro entorno de desarrollo y utilizado para apuntar a otro empleado, obteniendo credenciales y claves que se utilizaron para acceder y descifrar algunos volúmenes de almacenamiento dentro del servicio de almacenamiento basado en la nube”, dijo LastPass en su comunicado.
Estos dos incidentes relacionados no son la primera vez que LastPass se enfrenta a titulares de seguridad negativos. De nuevo en 2015, la compañía alertó a los usuarios sobre "actividad sospechosa en nuestra red", donde "las direcciones de correo electrónico de las cuentas de LastPass, los recordatorios de contraseñas, las sales del servidor por usuario y los hashes de autenticación estaban comprometidos".
Esto no pretende señalar a LastPass, como han sufrido otros proveedores de administradores de contraseñas. incidentes de seguridad en el pasado, pero más bien es una cuestión de si los administradores de contraseñas serán adecuados para su propósito en 2023. Después de todo, si otro software de ciberseguridad hubiera sufrido tantos incidentes de seguridad, ¿los usuarios ya se habrían rendido?
¿Se debe confiar en los administradores de contraseñas?
En un reciente Encuesta de Twitter, preguntamos si, a pesar de violaciones como la experimentada por LastPass, los usuarios seguirían considerando un administrador de contraseñas como el mejor método para almacenar contraseñas de forma segura. En nuestra encuesta, hubo 96 encuestados y el 85 por ciento estuvo de acuerdo en que era la mejor opción. Los comentarios que recibimos decían que "la teoría detrás de su funcionamiento sigue siendo en su mayor parte sólida", ya que las bóvedas todavía están cifradas con la contraseña maestra del usuario. Las opciones en torno a los administradores de contraseñas varían entre locales y basados en la nube, aunque es "una opción valiosa que puede ahorrar mucho tiempo [y] molestias, y es mejor que reutilizar contraseñas o simplemente elegir contraseñas incorrectas".
Per Thorsheim, fundador de PasswordsCon, afirmó que la "respuesta muy fácil es sí, ya que los administradores de contraseñas son buenos y los recomiendo absolutamente" cuando le preguntamos si sentía que los administradores de contraseñas seguían siendo la mejor opción a pesar de la cantidad de infracciones que enfrentamos. han visto.
Sin embargo, Thorsheim advierte sobre la cantidad de administradores de contraseñas, ya que cree que “bastantes son 'aceite de serpiente de silicona' en términos de seguridad, pueden ser costosos y la experiencia del usuario puede no ser tan fácil como cabría esperar. .
Thorsheim también afirmó que “un administrador de contraseñas no necesita ser una aplicación separada, multidispositivo o proporcionar sincronización instantánea de múltiples nubes entre dispositivos. Un administrador de contraseñas también puede ser tan simple como un cuaderno en el cajón de tu cocina, usando el viejo lápiz para hacer esas entradas importantes allí”.
Por supuesto, aquí estamos hablando del formato de aplicación de un administrador de contraseñas. Se puede argumentar que un cuaderno de contraseñas escritas en un lugar seguro de su hogar es más seguro que cualquier versión digital. Aún así, para determinar si los administradores de contraseñas son más seguros, le pregunté a Wendy Nather, jefa de CISO asesores de Cisco, qué pensaba sobre su estado de seguridad.
Ella los llama "un esfuerzo inicial para colocar una interfaz programática entre el usuario y el sistema", que es imperfecta pero puede proteger al usuario del problema de la contraseña y puede mejorarse. Nather admite que actualmente estamos en los primeros días de blindar y proteger al usuario en el proceso de autenticación. Tecnologías y estándares sin contraseña como FIDO2 se están adoptando y estamos "viendo más mejoras, confiabilidad y coherencia, y todo lo que le falta al usuario es coherencia".
Ahora vemos a menudo que muchos navegadores ofrecen guardar una contraseña. Si bien ese es otro método potencial para habilitar una infracción, también se está agregando funcionalidad para garantizar que se advierta al usuario sobre dónde sus contraseñas pueden haber quedado atrapadas en un Violacíon de datos.
Los administradores de contraseñas son un paso adelante desde escribirlas y dejarlas en un lugar accesible o incluso en otra aplicación o usar la misma contraseña para todos los servicios. Aún así, está claro que son un trabajo en progreso en lo que respecta a su seguridad general. Thorsheim dice que se trata de usarlos correctamente y "eso incluye permitirles generar una contraseña aleatoria para cada sitio web que tenemos".
Sin embargo, como los administradores de contraseñas tienen diferentes opciones disponibles para proteger sus datos y su cuenta, Thorsheim dijo que a menudo depende del usuario "comprender, configurar y usar muchas de esas opciones, y la mayoría de las personas no leen el manual, y seguramente ¡No cambies ninguna configuración predeterminada!
Esto le llevó a comentar que muchos usuarios no entienden cómo usan un administrador de contraseñas en el navegador, y el principal problema de “cómo los usas es más importante que cuál eliges usar, en mi opinión”.
Puede darse el caso de que los administradores de contraseñas sean una tecnología emergente por lo bien desarrollados que están para uso público. Qué fáciles de usar son sin instrucciones, mientras que las empresas que los desarrollan están sujetas a los mismos ataques que cualquier otro terminal del mundo. En última instancia, son un tesoro de acceso para un actor de amenazas, y tiene mucho sentido por qué serían el objetivo.
Si bien las infracciones se han producido durante muchos años, algunas plataformas se han visto afectadas y otras implementan constantemente protecciones para garantizar que puedan sobrevivir a una filtración de datos o un ataque dirigido. Debemos ser realistas sobre cuánta seguridad adicional ofrecen para el uso de contraseñas. Durante demasiado tiempo, las personas han reutilizado contraseñas y se les ha pedido que las cambien después de un incidente de seguridad; En el Día Nacional de Cambie su Contraseña, tal vez sea hora de cambiar su forma de pensar sobre los administradores de contraseñas: úselos, comprenda cómo funcionan y cómo es mejor con ellos que sin ellos.
Fortalezca la seguridad de su información hoy
Si está buscando comenzar su viaje hacia una mejor seguridad de la información, podemos ayudarlo.
Nuestra solución ISMS permite un enfoque simple, seguro y sostenible para la seguridad de la información y la gestión de datos con ISO 27001 y más de cincuenta marcos más. Descubra su ventaja competitiva hoy.
