LastPass ha anunciado que impondrá a los usuarios de sus servicios la actualización de sus contraseñas maestras, que deberán contar con un mínimo de 12 catacteres, a fin de crear claves de cifrado más sólidas y resistentes ante nuevos incidentes de seguridad.
Con el objetivo de reforzar la seguridad de sus cuentas y responder «al entorno de amenazas cibernéticas en constante cambio», LastPass ha anunciado que va a emprender una serie de cambios en sus cuentas, que ha detallado en un comunicado.
Por un lado, va a exigir a los clientes que actualicen la longitud y complejidad de sus contraseñas maestras y, por otro, ha solicitado que todos ellos vuelvan a registrar su autenticación multifactor (MFA, por sus siglas en inglés).
En primer lugar, ha recordado que la normativa actual del Instituto Nacional de Estándares y Tecnología (NIST) exige contraseñas con un mínimo de ocho caracteres pero que, debido a que las técnicas de descifrado de contraseñas son cada vez más sofisticadas y que en muchas casiones se opta por credenciales predecibles, es recomedable que estas sean aún más largas.
En este sentido, ha recordado que desde 2018 LastPass establece como predeterminadas las contraseñas de doce caracteres, pero que los usuarios pueden renunciar a esta configuración para elegir otras de menor extensión.
De ahí que a partir de ahora exigirá el uso de contraseñas maestras que incluyan un mínimo de doce caracteres, claves de encriptación que serán "más sólidas y resistentes" para proteger los datos de las bóvedas de su servicio.
Aquellos clientes que ya dispongan de contraseñas con dicha extensión no tendrán que llevar a cabo ninguna acción adicional, mientras que aquellos que no alcancen ese número de caracteres, deberán ampliarlas.
Para ello, ha dado algunas recomendaciones, como utilizar al menos una mayúscula, una minúscula, un número y un caracter especial; no utilizar caracteres secuenciales -como '1234' o 'aaaa'- o no emplear la contraseña final en otras aplicaciones o servicios.
LastPass implementará este cambio de forma gradual sobre su base de clientes y les enviará notificaciones por correo electrónico para informarles sobre este cambio. Los primeros en recibir estos avisos serán los clientes de las cuentas gratuitas, premium y familiares. Les seguirán los usuarios de Teams y Business hacia finales de enero de 2024.
Por otra parte, la compañía ha explicado que a partir del próximo mes comenzará a verificar estas nuevas contraseñas con una base de datos de credenciales robadas para garantizar que estas no han llegado a la 'dark web'.
Si se detecta que alguna de ellas ya ha sufrido alguna violación, se enviará una advertencia de seguridad a sus clientes para que opten por otra durante la configuración de su nueva contraseña.
Por último, ha recordado que desde mayo del año pasado ha instado a los usuarios de servicios como Microsoft Authenticator, Google Authenticator o LastPass Authenticator a reestablecer sus sistemas MFA, una medida que llegará pronto a los usuarios de Grid Authentication.