Varios investigadores han encontrado pruebas muy fiables que asocian la información extraída de LastPass con 150 víctimas de robo entre las que se incluirían empleados de firmas relacionadas con criptodivisas y NFT, inversores, programadores de protocolos y otros perfiles muy relevantes. No eran gente anónima. El atacante o los atacantes, fueran quienes fueran, filtraron la información y fueron directamente a por personas con carteras potencialmente jugosas. Se habrían sustraído unos 35 millones de dólares.
Comentarios
Dejarle todas tus contraseñas a una empresa en la nube... qué podría salir mal?
#4 Pues había YouTubers y anuncios que decían que era la solución a todos los problemas de seguridad.
Si no nos vamos a poder fiar de los tiktokers ni de los YouTubers ¿que nos queda?
#13 pues nos quedan soluciones similares, como keeepass, donde te guardas tú mismo el archivo encriptado con las contraseñas.
Si esa gente hubiese usado algo así, los hackers podrían haber robado la información de alguno, pero no de tanta gente por su fe ciega en una empresa.
#14 Acabo de preguntar por la fiabilidad de TrueCrypt que es lo que uso para guardar pass y cosas críticas.
Seré un paranoico pero no me fio nada de los softs más modernos, para mi que, hoy día, todo tiene una puerta trasera.
#16 Keepass es open source. Si tuviera alguna puerta trasera se podría encontrar con facilidad. El código es público y está bastante monitorizado.
De todos modos, truecrypt es para crear una unidad virtual encriptada. Con Keepass en particular lo que se encripta es una pequeña base de datos donde se guardan tus contraseñas e información relevante No guarda archivos ni nada más.
Puedes copiar ese archivito a otro equipo, y siempre que tengas un programa que sea compatible con su tipo de archivo podrás leerlo.
Yo lo uso en windows, android y linux, y es muy cómodo pasar el fichero y sincronizar versiones.
Jajajaja qué pringaos
Un tiburón más listo que ellos se los ha merendado. Más mentalidad y más tiburón
#1 Mentalidad de megalodón.
#2
#10 se mete en, por elegir un generador de código abierto, xmraddress.org
Ahí estás introduciendo nuevos riesgos. Parece un proyecto pequeño, no parece trasversal entre varias criptomonedas generalistas, no parece que se base en ningún estándar específico. Existe el riesgo que en cuanto lo vayas a usar haya sido hackeado, o directamente diseñado con una vulnerabilidad, de forma que la conversión que hace de lo que introduces al seed real sea débil. Deberías verificar el código fuente por los motivos anteriores.
Me da mucha más confianza algo como el BIP39 que es un estándar implementado en infinidad de monederos que un servicio web de quién sabe quién para convertir una frase mía a un seed estándar.
#8 Esa sospecha siempre ha estado ahí, no me consta que se haya concretado. ¿Dispones de alguna fuente que avale que se haya demostrado que tal vulnerabilidad ha llegado a existir por parte de algún monedero?
Por otro lado esas palabras no tiene por qué proporcionarlas el software del monedero, puede hacerse aparte y dárselas, incluso se pueden elegir tirando los dados.
#10 #9 Perdonad el off-topic pero os veo puestos en el tema y yo estoy ya más acabado que Antonio Machín (hasta la broma es viejuna)
¿Pensáis que siguen siendo seguras las últimas versiones de TrueCrypt de antes de que desapareciera el autor?
Creo que las han auditado y no han encontrado boquetes, de hecho el que el tío se haya tenido que quitar de enmedio hasta me da más confianza.
A mí me gustan las criptocosas que permiten crear una cartera offline. Con tu frase preferida de semilla, en un ordenador un que jamás vaya a estar conectado a Internet, te creas tus carteras y de ahí solo salen las direcciones públicas a las que enviar.
Si alguna vez necesitas mover esas monedas, vuelves a un dispositivo offline y generas tu clave pública o las veintitantas palabras que te permitirán crear la cartera en un dispositivo de tu confianza, aunque con un poco más de conocimiento también podrías firmar las transacciones offline.
Con el conocimiento en tu cabeza de la semilla y un software público descargable de la red te puedes ir a cualquier parte del mundo llevando tus carteritas indetectables.
Y si estas precauciones las tiene un pringao apenas involucrado, podría esperar que alguien con tantos corticoles fuera un poco más precavido.
Ni KeePass, ni LastPass, ni winrar, ni pins ni cocks in vinegar.
#5 Con tu frase preferida de semilla
Las palabras de la semilla están limitadas a un vocabulario de 2048 palabras para el estándar BIP39, eso basta si la elección de esas palabras la hace un ordenador de forma aleatoria pero si una persona decide crear una frase de 12 palabras partiendo de ese vocabulario de 2048 palabras es muy posible que sea sencillo un ataque por fuerza bruta, ya que los humanos somos pésimos con la aleatoriedad.
Si dejases elegir esas 12 palabras al ordenador y las memorizases evitarías el riesgo de la fuerza bruta aunque en ese caso agravarías el riesgo de olvidarte de ellas. La memoria humana es mucho menos fiable de lo que nos gusta creer, y existen situaciones médicas a nivel de accidentes o enfermedades que pueden borrar o hacer inaccesible parte de ella.
Como siempre la seguridad va correlacionada con la usabilidad, según sea el valor almacenado los riesgos que he descrito son excesivos, para cuantías pequeñas pueden ser riesgos asumibles.
#7 #5 está habiendo casos con los nuevos generadores de claves, que no son tan aleatorios como deberían, dejando la puerta abierta al creador del software.
#7 la fuerza bruta para descifrar una semilla determinista normalita sin pistas se escapa de lo razonable. Por ejemplo, si como frase se coge un párrafo completo de un libro conocido, con algunas alteraciones controladas, y se mete en, por elegir un generador de código abierto, xmraddress.org ya no se necesitarían las 25 palabras ni las claves para recuperar esa dirección de la cadena. Si se hace offline, lo único que podría tener huella digital sería la dirección pública hasta que se quisiera verificar transacciones o acceder a los fondos.
Lo he probado con 1200 palabras para la entropía y es rápido. En este caso advierte si la semilla es absurdamente simple. Desde luego la seguridad es mayor que dejarle las claves a un tercero.
#7 La memoria humana es mucho menos fiable...
Siempre queda la opción de apuntar la clave de encriptación en un post-it.
anda! sigue vivo el foro de elotrolado, no lo veia desde hacia años, en sus tiempos fue un referente, hoy dia prefiero gbatemp y similares