Se le pedirá a los usuarios de LastPass que cambien sus contraseñas maestras después de que la compañía informó que su red fue violada.

La compañía reveló la fuga en un blog el lunes después de investigar "actividad sospechosa" descubierta por su equipo de seguridad. Según LastPass, la investigación no reveló evidencia alguna de que los atacantes robaran datos cifrados de los usuarios, archivos de almacenamiento de contraseñas ni que los intrusos tengan acceso a las cuentas de los usuarios de LastPass. Dicho esto, los atacantes fueron capaces de robar direcciones de correo electrónico, cuentas de recordatorios de contraseña, servidor de salts de usuarios y hashes de autenticación.

Estos últimos dos datos hacen posible que el atacante averigüe las contraseñas maestras débiles, aunque el CEO de LastPass, Joe Siegrist, dijo que las protecciones de LastPass (que incluyen correr 100 mil rondas de PBKDF2-SHA256 del lado del servidor) hacen que sea "difícil de atacar a los hashes robados con velocidad relevante".

Todos los que utilizan el servicio tendrán que establecer una nueva contraseña maestra para su archivo de almacenaje y cualquier persona que acceda a su cuenta desde una nueva dirección IP o dispositivo tendrá que verificar su identidad a través de correo electrónico, si no tiene los dos factores de autenticación habilitados.

LastPass permite a las personas almacenar las contraseñas de numerosos sitios y luego iniciar sesión en estos sitios de forma automática, por lo que no es necesario recordar contraseñas individuales. LastPass incluye herramientas para generar contraseñas seguras con cadenas de caracteres complejos, los usuarios sólo tiene que recordar su contraseña maestra para utilizar el servicio. Sin embargo, su seguridad, por supuesto, depende del mismo LastPass para no ser atacado.

El cambio de contraseña maestra es especialmente importante para los usuarios con contraseñas débiles, como simples palabras del diccionario, las cuales estarán en mayor riesgo de verse comprometidas. Las personas que utilizan su contraseña maestra para otras cuentas deben cambiar la contraseña de esos otros sitios también.

No es la primera vez que LastPass es atacada. En 2011 la compañía también sufrió una violación, aunque este ataque fue diferente porque LastPass supo de inmediato de la intervención y, desde entonces, ha fortalecido la forma en que almacena las contraseñas para protegerse mejor contra atacantes.

LastPass es uno de los gestores de contraseñas más populares en uso hoy en día, en parte debido a que la compañía ofrece su servicio de forma gratuita para los usuarios que quieren proteger sus credenciales de inicio de sesión y otra información segura. No está claro cuántos usuarios se vieron afectados por el ataque.