LastPass es un administrador de contraseñas freemium que almacena contraseñas cifradas en línea. La versión estándar de LastPass viene con una interfaz web, pero también incluye complementos para varios navegadores web y aplicaciones para muchos teléfonos inteligentes. [1] También incluye soporte para marcadores . [3] LogMeIn, Inc. adquirió LastPass en octubre de 2015. [4]
Autor (es) original (es) | Marvasol, Inc. ( dba LastPass) |
---|---|
Desarrollador (es) | LogMeIn |
Versión inicial | 22 de agosto de 2008 |
Plataforma | Firefox , Google Chrome , Internet Explorer 11 , Safari , Opera , Android 5.0 y posterior, iOS 11 y posterior, Windows 7 y posterior, macOS , UWP , x86 y AMD64 Linux , Maxthon [1] |
Disponible en | Inglés y otros 6 idiomas [2] |
Tipo | Administrador de contraseñas |
Licencia | Freemium |
Sitio web | lastpass |
Descripción general
El contenido de un usuario en LastPass, incluidas las contraseñas y notas seguras, está protegido por una contraseña maestra. El contenido se sincroniza con cualquier dispositivo en el que el usuario utilice el software LastPass o las extensiones de la aplicación. La información está cifrada con cifrado AES-256 con PBKDF2 SHA-256 , hashes salados y la capacidad de aumentar el valor de las iteraciones de contraseña. El cifrado y el descifrado se realizan a nivel de dispositivo. [1] [5]
LastPass tiene un rellenador de formularios que automatiza el ingreso de contraseñas y el llenado de formularios, y admite la generación de contraseñas, el uso compartido y el registro de sitios, y la autenticación de dos factores. LastPass admite la autenticación de dos factores a través de varios métodos, incluida la aplicación LastPass Authenticator para teléfonos móviles y otros, incluido YubiKey . [6] LastPass está disponible como una extensión para muchos navegadores web, incluidos Google Chrome , Mozilla Firefox , Apple Safari , Microsoft Edge , Vivaldi y Opera . También tiene aplicaciones disponibles para teléfonos inteligentes que ejecutan los sistemas operativos Android , iOS o Windows Phone . Las aplicaciones tienen funcionalidad fuera de línea. [1]
A diferencia de otros administradores de contraseñas importantes, LastPass ofrece una pista de contraseña configurada por el usuario , que permite el acceso cuando falta la contraseña maestra. [7]
LastPass tiene una función para compartir contraseñas seguras .
Historia
El 2 de diciembre de 2010, se anunció que LastPass había adquirido Xmarks , una extensión de navegador web que permitía la sincronización de contraseñas entre navegadores. La adquisición significó la supervivencia de Xmarks, que tenía problemas financieros, y aunque los dos servicios permanecieron separados, la adquisición condujo a un precio reducido para las suscripciones premium pagadas que combinaban los dos servicios. [8] [9] El 30 de marzo de 2018, se anunció que el servicio Xmarks se cerraría el 1 de mayo de 2018, según un correo electrónico a los usuarios de LastPass. [10]
El 9 de octubre de 2015, LogMeIn, Inc. adquirió LastPass por 110 millones de dólares. La empresa se combinó bajo la marca LastPass con un producto similar, Meldium, que ya había sido adquirido por LogMeIn. [4] [11] [12]
El 3 de febrero de 2016, LastPass presentó un nuevo logotipo. El logotipo anterior, que presentaba un asterisco de manera prominente, fue objeto de una demanda de marca registrada presentada a principios de 2015 por E-Trade , cuyo logotipo también presenta un asterisco. [13]
El 16 de marzo de 2016, LastPass lanzó LastPass Authenticator, una aplicación gratuita de autenticación de dos factores . [14] [15]
El 2 de noviembre de 2016, LastPass anunció que las cuentas gratuitas ahora admitirían la sincronización del contenido del usuario con cualquier dispositivo, una función que antes era exclusiva de las cuentas de pago. Anteriormente, una cuenta gratuita en el servicio significaba que sincronizaría el contenido con una sola aplicación. [16] [17]
En agosto de 2017, LastPass anunció LastPass Families, un plan familiar para compartir contraseñas, información de cuentas bancarias y otros datos confidenciales entre miembros de la familia por una suscripción anual de $ 48. También duplicaron el precio de la versión Premium sin agregarle nuevas funciones. En cambio, se eliminaron algunas características de la versión gratuita. [18]
El 16 de febrero de 2021, LastPass anunció que a partir del 16 de marzo, las versiones gratuitas solo se podrán usar en dispositivos de escritorio o móviles, en lugar de en ambos. Cualquier usuario que desee continuar usando ambos tendrá que pagar por la versión Premium (es decir, de pago). También interrumpirían el soporte por correo electrónico para los usuarios gratuitos al mismo tiempo. [19]
Recepción
En marzo de 2009, PC Magazine otorgó a LastPass cinco estrellas, una marca de "Excelente" y su "Elección de los editores" por la gestión de contraseñas. [20] Una nueva revisión en 2016 después del lanzamiento de LastPass 4.0 le valió al servicio nuevamente cinco estrellas, una marca de "Sobresaliente" y el honor de "Elección de los editores". [21]
En julio de 2010, el modelo de seguridad de LastPass fue ampliamente cubierto y aprobado por Steve Gibson en su podcast Security Now episodio 256. [22] También revisó el tema y cómo se relaciona con la Agencia de Seguridad Nacional en el podcast Security Now episodio 421. [23 ]
En octubre de 2015, cuando LogMeIn adquirió LastPass, el blog del fundador Joe Siegrist estaba lleno de comentarios de usuarios que expresaban críticas a LogMeIn. [24] Los sitios web ZDNet, Forbes e Infoworld publicaron artículos que mencionaban la protesta de los clientes existentes, algunos de los cuales dijeron que se negarían a hacer negocios con LogMeIn y expresaron otras preocupaciones sobre la reputación de LogMeIn. [25] [26] [27]
En un artículo de Consumer Reports de 2017, Dan Guido, el director ejecutivo de Trail of Bits, calificó a LastPass como un administrador de contraseñas popular (junto con Dashlane , KeePass y 1Password ), y la elección entre ellos depende principalmente de las preferencias personales. [7] En marzo de 2019, Lastpass recibió el premio al Mejor Producto en Gestión de Identidad durante la séptima edición anual de los Premios InfoSec de la Revista Cyber Defense. [28]
En febrero de 2021, en respuesta a que LastPass limitara su nivel gratuito a un tipo de dispositivo, Barry Collins de Forbes calificó el cambio como un " cebo y cambio " que hace que las cuentas gratuitas "sean mucho menos útiles de lo que solían ser" que "arruina" el nivel libre. [29]
Temas de seguridad
Incidente de seguridad de 2011
El martes 3 de mayo de 2011, LastPass descubrió una anomalía en el tráfico de red entrante y luego una anomalía similar en el tráfico saliente. Los administradores no encontraron ninguno de los sellos distintivos de una violación de seguridad clásica (por ejemplo, un usuario no administrador elevado a privilegios de administrador), pero tampoco pudieron determinar la causa de las anomalías. Además, dado el tamaño de las anomalías, teóricamente era posible que datos como las direcciones de correo electrónico, la sal del servidor y los hashes de contraseña con sal se copiaran de la base de datos de LastPass. Para abordar la situación, LastPass desconectó los servidores "vulnerados" para que pudieran reconstruirse y, el 4 de mayo de 2011, solicitó a todos los usuarios que cambiaran sus contraseñas maestras. Dijeron que si bien no había evidencia directa de que la información del cliente estuviera comprometida, preferían pecar de cautelosos. Sin embargo, el tráfico de usuarios resultante abrumaba a los servidores de inicio de sesión y los administradores de la empresa, considerando la posibilidad de que las contraseñas existentes se hubieran visto comprometidas era trivialmente pequeña, pidieron a los usuarios que pospusieran el cambio de sus contraseñas hasta nuevo aviso. [30] [31]
Brecha de seguridad de 2015
El lunes 15 de junio de 2015, LastPass publicó una publicación en el blog que indicaba que el equipo de LastPass había descubierto y detenido la actividad sospechosa en su red el viernes anterior. Su investigación reveló que las direcciones de correo electrónico de las cuentas de LastPass, los recordatorios de contraseñas, las sales de servidor por usuario y los hash de autenticación se vieron comprometidos; sin embargo, los datos de la bóveda de usuarios cifrados no se vieron afectados. El blog de la empresa decía: "Estamos seguros de que nuestras medidas de cifrado son suficientes para proteger a la gran mayoría de los usuarios. LastPass refuerza el hash de autenticación con una sal aleatoria y 100.000 rondas de PBKDF2-SHA256 del lado del servidor, además de las rondas realizadas por el cliente -side. Este fortalecimiento adicional hace que sea difícil atacar los hashes robados con una velocidad significativa ". [32] [33]
Incidentes de seguridad de 2016
En julio de 2016, una publicación de blog publicada por la firma de seguridad en línea independiente Detectify detalló un método para leer contraseñas de texto sin formato para dominios arbitrarios de la bóveda de un usuario de LastPass cuando ese usuario visitaba un sitio web malicioso. Esta vulnerabilidad fue posible gracias al código de análisis de URL mal escrito en la extensión de LastPass. La falla no fue revelada públicamente por Detectify hasta que LastPass fue notificada de manera privada y pudo corregir la extensión de su navegador. [34] LastPass respondió a la divulgación pública de Detectify en una publicación en su propio blog, en la que revelaron conocimiento de una vulnerabilidad adicional, descubierta por un miembro del equipo de seguridad de Google y ya reparada por LastPass. [35]
Incidentes de seguridad de 2017
El 20 de marzo, Tavis Ormandy descubrió una vulnerabilidad en la extensión LastPass Chrome. El exploit se aplicó a todos los clientes de LastPass, incluidos Chrome, Firefox y Edge. Estas vulnerabilidades se desactivaron el 21 de marzo y se repararon el 22 de marzo. [36]
El 25 de marzo, Ormandy descubrió una falla de seguridad adicional que permitía la ejecución remota de código en función del usuario que navegaba a un sitio web malicioso. Esta vulnerabilidad también se corrigió. [37] [38]
Incidentes de seguridad de 2019
El viernes 30 de agosto de 2019, Tavis Ormandy informó de una vulnerabilidad en la extensión del navegador LastPass en la que los sitios web con código JavaScript malicioso podían obtener un nombre de usuario y una contraseña insertados por el administrador de contraseñas en el sitio visitado anteriormente. [39] [40] Para el 13 de septiembre de 2019, Lastpass anunció públicamente la vulnerabilidad, reconociendo que el problema se limitaba solo a las extensiones de Google Chrome y Opera; no obstante, todas las plataformas recibieron el parche de vulnerabilidad. [41] [42]
2021 rastreadores de terceros
En 2021 se descubrió que la aplicación de Android contenía rastreadores de terceros. [43]
Ver también
- Lista de administradores de contraseñas
Referencias
- ^ a b c d "La mejor manera de administrar contraseñas" . LogMeIn . Consultado el 8 de agosto de 2018 .
- ^ "¿Qué idiomas admite LastPass?" . LogMeIn . Consultado el 14 de noviembre de 2020 .
- ^ "Bookmarklets" . LogMeIn . Archivado desde el original el 26 de febrero de 2017 . Consultado el 8 de agosto de 2018 .
- ^ a b Siegrist, Joe (9 de octubre de 2015). "LastPass se une a la familia LogMeIn" . blog.lastpass.com . LogMeIn . Consultado el 8 de agosto de 2018 .
- ^ Hoffman, Chris (9 de agosto de 2012). "11 formas de hacer que su cuenta LastPass sea aún más segura" . How-To Geek .
- ^ Eddy, Max (30 de marzo de 2016). "LastPass Authenticator (para iPhone)" . PCMag . Ziff Davis .
- ^ a b Chaikivsky, Andrew (7 de febrero de 2017). "Todo lo que necesita saber sobre los administradores de contraseñas" . Consumer Reports .
- ^ Gott, Amber (2 de diciembre de 2010). "¡LastPass adquiere Xmarks!" . blog.lastpass.com . LogMeIn .
- ^ Purdy, Kevin (2 de diciembre de 2010). "LastPass adquiere Xmarks, manteniendo los planes gratuitos de sincronización de marcadores disponibles" . Lifehacker . Gizmodo Media Group .
- ^ Brinkmann, Martin (1 de abril de 2018). "LogMeIn cerrará Xmarks el 1 de mayo de 2018" . gHacks . Archivado desde el original el 1 de abril de 2018.
- ^ Brodkin, Jon (9 de octubre de 2015). "LogMeIn compra el administrador de contraseñas de LastPass por 110 millones de dólares" . Ars Technica . Condé Nast .
- ^ Pérez, Sarah (9 de octubre de 2015). "LogMeIn adquiere el software de administración de contraseñas LastPass por $ 110 millones" . TechCrunch . Red de tecnología de juramento .
- ^ Siegriest, Joe. "Conozca el nuevo logotipo de LastPass" . LastPass . Consultado el 2 de noviembre de 2016 .
- ^ Gott, Amber (16 de marzo de 2016). "LastPass Authenticator facilita el doble factor" . blog.lastpass.com . LogMeIn .
- ^ Whitwam, Ryan (16 de marzo de 2016). "LastPass lanza su propia aplicación de autenticación móvil de 2 factores" . AndroidPolice . Robot ilógico.
- ^ Siegriest, Joe (2 de noviembre de 2016). "Obtenga LastPass en todas partes: ¡el acceso a múltiples dispositivos ahora es gratis!" . blog.lastpass.com . LogMeIn .
- ^ Kastrenakes, Jacob (2 de noviembre de 2016). "Ahora hay una excusa menos para no usar un administrador de contraseñas" . The Verge . Vox Media .
- ^ Maring, Joe (3 de agosto de 2017). "LastPass anuncia precios para el plan 'Familias'; duplica el costo de la opción Premium" . 9to5Google .
- ^ "Cambios en LastPass Free" . Ultimo pase. 16 de febrero de 2021 . Consultado el 16 de febrero de 2021 .
- ^ Rubenking, Neil (20 de marzo de 2009). "Revisión de LastPass 1.50" . PCMag . Ziff Davis . Archivado desde el original el 24 de marzo de 2009.CS1 maint: URL no apta ( enlace )
- ^ Rubenking, Neil (2 de noviembre de 2016). "Revisión de LastPass 4.0" . Revista de PC . Consultado el 2 de noviembre de 2016 .
- ^ Gibson, Steve; Laporte, Leo (10 de junio de 2010). "Seguridad ahora 256: LastPass Security" . TWiT.tv .
- ^ Gibson, Steve; Laporte, Leo (11 de septiembre de 2013). "Security Now 421: la acusación perfecta" . TWiT.tv .
- ^ Brodkin, Jon (9 de octubre de 2015). "LogMeIn compra el administrador de contraseñas de LastPass por 110 millones de dólares" . Ars Technica . Condé Nast .[ verificación necesaria ]
- ^ "LastPass comprado por LogMeIn por $ 110 millones; ... protesta de los usuarios de LastPass, algunos de los cuales dicen que se niegan a hacer negocios con LogMeIn" . ZDNet . 2015-10-09 . Consultado el 12 de junio de 2019 .[ verificación necesaria ]
- ^ "LastPass se une a LogMeIn, pero no a todo el mundo le entusiasma" . Forbes . 2015-10-09 . Consultado el 12 de junio de 2019 .[ verificación necesaria ]
- ^ "LogMeIn adquiere LastPass para reforzar la cartera de identidad" . InfoWorld . 2015-10-09 . Consultado el 12 de junio de 2019 .[ verificación necesaria ]
- ^ Shah, Megha (20 de marzo de 2019). "LastPass by LogMeIn recibió el reconocimiento InfoSec 2019" . Embudo tecnológico .
- ^ Collins, Barry. "LastPass rompe cuentas gratuitas: ¿Dónde almacenar sus contraseñas ahora?" . Forbes . Consultado el 17 de febrero de 2021 .
- ^ Siegrist, Joe (16 de mayo de 2011). "Notificación de seguridad de LastPass" . blog.lastpass.com . LogMeIn .
- ^ Raphael, JR (5 de mayo de 2011). "El CEO de LastPass explica un posible truco" . PC World . IDG .
- ^ Siegrist, Joe (10 de julio de 2015). "Aviso de seguridad de LastPass" . blog.lastpass.com . LogMeIn .
- ^ Goodin, Dan (15 de junio de 2015). "Hack de LastPass basado en la nube expone contraseñas maestras hash" . Ars Technica . Condé Nast .
- ^ Karlsson, Mathias (27 de julio de 2016). "Cómo hice que LastPass me diera todas sus contraseñas" . Detectar laboratorios . Detectar.
- ^ Gott, Amber (27 de julio de 2016). "Actualizaciones de seguridad de LastPass" . blog.lastpass.com . LogMeIn .
- ^ Gott, Amber (22 de marzo de 2017). "Actualizaciones de seguridad importantes para nuestros usuarios" . blog.lastpass.com . LogMeIn .
- ^ Ormandy, Travis (25 de marzo de 2017). "{Sin título}" . @taviso . Twitter .
- ^ Siegrist, Joe (27 de marzo de 2017). "Actualización de seguridad para la extensión LastPass" . blog.lastpass.com . LogMeIn .
- ^ a las 19:36, Shaun Nichols en San Francisco el 16 de septiembre de 2019. "¿Cuánto pase podría pasar LastPass si LastPass pasó el último pase? Se corrigió el agujero de seguridad con fugas de inicio de sesión" . www.theregister.co.uk . Consultado el 26 de septiembre de 2019 .
- ^ "Se eliminó un error de exposición de contraseñas de LastPass" . Cableado . ISSN 1059-1028 . Consultado el 26 de septiembre de 2019 a través de www.wired.com.
- ^ "Edición 1930 - proyecto-cero - Proyecto cero - Monorraíl" . bugs.chromium.org . Consultado el 17 de septiembre de 2019 .
- ^ Goodin, Dan (16 de septiembre de 2019). "Error de exposición de contraseñas eliminado de las extensiones de LastPass" . Ars Technica . Consultado el 17 de septiembre de 2019 .
- ^ Hendrickson, Josh. "La aplicación LastPass para Android contiene 7 rastreadores de empresas externas 😬 - Review Geek" . Revisión de Geek . Consultado el 20 de marzo de 2021 .
enlaces externos
- Página web oficial