PplWare Mobile

Alerta: LastPass foi atacado! Mude as suas passwords

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Alex says:

    Gostei da “aporteguesação” …

    “The investigation has shown, NO ENTANTO, that LastPass account email addresses, “

  2. Rogério Costa says:

    Porquê que eles não informaram diiretamente os utilizadores deste problema?
    Não se admite.

    • Makvrski says:

      porque parecia mal estarem a admitir que fizeram merda…

    • knom says:

      então deixa de usar…
      nos termos de aceitação do serviço estava lá algo a dizer que eles eram obrigados a comunicar estas macacadas?

    • Tiago says:

      Avisaram directamente sim:

      “Dear LastPass User,

      We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.

      We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.

      We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.

      Regards,
      The LastPass Team “

  3. aLexander says:

    Sempre estive de pé atrás em usar um gestor de passwords…. estas noticias cada vez mais reforçam a ideia de que seguro só mesmo a nossa cabeça e mesmo assim……

    • César Faria says:

      Sempre pode experimentar gerar a sua password sempre que necessita, em vez de a guardar. Simples e seguro! Gostava de ter a sua opinião.

      http://www.passwordbakery.net/index.php

      • J T says:

        Curioso, o pw bakery funciona com o mesmo principio que eu uso para criar pw: nome do site/serviço + uma pass (normalmente geral com caracteres especiais e maisculas), que combina para criar uma pw única e dessa forma nunca me esqueço. Mas no teu caso a pw final é completamente aleatoria (não é facil criar um bom algoritmo pois não?), o que faz com que os 2 passos iniciais sejam desnecessários. E a nível de design deixa muito a desejar (e isso é dizer pouco). Se queres fazer alguma app util e facil podias fazer uma calculadora com formulas de fisica (não existe nada de jeito na playstore), como a que está neste site: http://hyperphysics.phy-astr.gsu.edu/hbase/flobj.html

  4. NokTham says:

    pois…. ainda bem que me livrei do LastPass já à muito tempo… ter as minhas passwords num servidor alheio não era lá muito agradável.

    agora é KeePass all the way.

  5. Sambas31 says:

    Epic fail!Lol

  6. int3 says:

    o problema presiste… “weak passwords”

  7. daiquiri says:

    LOL porque insistem em guardar TODAS as passwords NA CLOUD?
    é erro logo por definição: meter informação sensivel na cloud e confiar nos outros.

    KeePass é o ÚNICO local, que dá para sincronizar e opensource!

  8. Blog do Cusco says:

    Boas,

    não utilizo este tipo de serviço, utilizo um documento com password onde tenho dicas para as passwords que utilizo. O que é realmente pena é que existam pessoas direccionadas apenas para hackear este tipo de sites, é pena também os sites não investirem em protecção e mais que tudo isto é pena os utilizadores continuarem a utilizar passwords do género “123456” ou “qwerty”.

    O que recomendo a todos os que conheço é utilizarem um nº que seja familiar com caracteres especiais e letras maiúsculas e minúsculas.

    • knom says:

      depois aparece um rasomware e come-te os ficheiros todos?
      o que recomendas tambem é válido para ti? senhas são faceis de adivinhar….. existe uma coisa que aprendi a pouco tempo que existe chamada engenharia social, cuidado 😉

  9. pctotil says:

    o problema é que 90% dos que vao ler esta noticia pensam que as passwords foram roubadas, o que esteve longe de acontecer, este serviço é do mais transparente que conheço, revelam sempre que foram atacados embora até hoje nao se conhece nenhum caso de roubo efectivo das passwords encriptadas. E com autenticação multifactor é mesmo muito improvável que ocorra algum roubo de informaçao util… por mim continuo a usar….

  10. knom says:

    lol piadas… guardar passwords na cloud.. muito útil super seguro, viva a cloud…
    quero ver a IOT…. até choram
    cloud não é o futuro

  11. maqueco says:

    usar um gestor de passords sim, mas na cloud nao, é estar mesmo a pedi-las, será que esta malta nao aprende?

  12. PT_Kool says:

    Sou utilizador premium deste serviço à três anos e apesar desta notícia continuo a considerar que esta é uma das melhores soluções para armazenar passwords de forma segura, no entanto penso que devemos ter alguns cuidados acrescidos: acesso online only; strong master password; passwords únicas e autenticação mulfifactor, com estes cuidados não razão para não utilizar estes serviços., mas como tudo, todas as seguranças só são seguras até serem quebradas…

  13. André says:

    Continua a ser muito mais seguro ter uma password como “eufuialiao3correr” do que andar com gestores de passwords. Mesmo nos vossos computadores (então com serviços que permitem sincronização com outros dispositivos…) é preciso ter cuidado. Muitos desses programas possuem talkback e permitem que as vossas pass sejam enviadas para servidores externos.
    Inventem frases que não tenham sentido para outras pessoas mas que vocês não se esqueçam. 100% de passwords guardadas (seja na cloud ou no pc) são possíveis de aceder remotamente. Ter uma pass mesmo que fraca, acaba por ser mais seguro do que andar a mostrar que possuem contas em 200000 serviços diferentes.
    Outro dos problemas é as pessoas terem 10 contas de email, 500 contas do facebook, 200 contas no twitter, 200 contas no jogo oooooo, 100 contas no jogo iiiii e terem 100 serviços diferentes que precisam de autenticações. A maioria destas pessoas não precisa de mais de 1 a 2 contas em cada coisa. Com isso já conseguem controlar as vossas pass sem precisarem de gestores.
    Também presumo que anda por aí muita gente com os pins dos cartões e serviços bancários guardados em ficheiros nos vossos telemóveis?

    • Sergio J says:

      Eu também utilizo frases, no entanto cheias de símbolos de substituição ou extra.

      Utilizo o 1password, que tem uma master password super forte (24 carateres). Obviamente que qd preciso consultar no iphone tem um pin com apenas 1 tentativa.

      Além disso, tenho autenticação a 2 factores.

      • knom says:

        continua, fala mias
        diz já agora as letras do inicio meio e fim..
        fala porque a internet é segura o suficiente para poderes madnar dados assim para o ar

        • Sergio J says:

          Eu disse alguma coisa. Apenas citei que uso a maioria dos critérios para a construção de uma boa password. Qual é a cena? ter dito que tem 24 caracteres? vais longe com isso. No máximo desencorajo seja quem for.
          A única regra que quebro é dizer que tenho uma password forte e uma das primeira regras é a descrição.

  14. tiago says:

    Nada como um bloco de notas…

  15. Colzani says:

    Bom, minha senha mestra tem apenas 23 caracteres, entre números, letras, e outros símbolos. Boa sorte aos hackers.

    Claro que não é impossível de se quebrar, mas acho bem difícil.

    Continuo usando e confiando.

    • Amon says:

      Depois de ler seu comentário, só me resta lhe desejar sorte…. muita mesmo.

      Ah aquele ditado, ” o seguro morreu velho”

      enquanto isso vou abrindo mão de serviços como evernote, dropbox, gdrive e adotando outras soluções como keepass, owncloud, omni notes/laverna.

    • Cláudio Esperança says:

      A preocupação é não utilizar a mesma senha para todos os serviços… Podemos ter uma senha incrivelmente segura, mas utilizar a mesma num site manhoso que não faça a cifragem das senhas ou que não tenha mecanismo de autenticação seguro para que a nossa senha perca toda a segurança.

      A autenticação por dois ou mais passos é um complemento adicional de segurança que devem utilizar. É mais uma camada de segurança que não precisa de trocar informações com serviços online e por isso mais segura.

    • Zé Manel says:

      E claro que vc anda com ela num ficheiro de texto desencriptado, né ?

      • Colzani says:

        Hehehe, claro que não Zé Manel!

        Antes de eu escolher uma senha, eu a digito várias vezes no teclado, por alguns dias, até memorizar ela. E eu sequer sei pronunciar minha senha, apenas digitar.

    • knom says:

      a sério?
      vives num mundo a parte, podes ter isso tudo vai ser decifrável a mesma
      e as “senhas mestras” não costumam correr lá muito bem, um keylogger e lá se vão todos os teus “serviços mestres”

    • Colzani says:

      Há e é claro, esqueci de falar da autenticação de dois fatores. Mesmo que um dia quebrem a senha, tem mais esse “pequeno” empecilho.

      Quanto a mesma senha em vários sites…eu nem sei a senha dos sites que acesso, justamente por isso uso o lastpass, ele gera na forma que eu quero e as memoriza. Simples assim.

  16. João Dias says:

    Não é necessário mudar as palavras-passe todas, calma lá com isso, informem-se primeiro antes de criar o pânico. Isto não é o Correio da Manhã.

    O LastPass não guarda as palavras-passe na cloud sem encriptação, nem sequer tem acesso às chaves de acesso a elas, portanto os hackers até poderiam roubar todo o tipo de algaraviada de texto que não é possível ter acesso a elas sem as chaves públicas e privadas.

    Incentivem, SIM, à activação da autenticação em dois passos. É simples e deixa todos mais descansados.

  17. João Dias says:

    Se quiserem saber como REALMENTE o serviço do LastPass funciona, vejam/oiçam este episódio do Security Now, onde o Steve Gibson explica o serviço e como funciona.
    https://www.youtube.com/watch?v=r9Q_anb7pwg

    é melhor informar do que desinformar, não sejam como os outros.

  18. me and me says:

    Melhor local para haurdar passwords.. No cerebro

  19. Rafael says:

    “LastPass é um dos melhores que existem na Internet quanto a tarefa é guardar password”.
    Simplesmente antagónico…

  20. Paulo Pires says:

    Eu utilizo o LastPass e nem me vou preocupar em mudar a pass porque também não tenho lá nada de muito importante como acessos ao netbanco e sites importantes.

  21. pedro says:

    todo e qualquer software que usem para guardar passwords é falível e passível de ser hackeado, mais cedo ou mais tarde. deixem-se de modernices e guardem as vossas passwords apenas e só em documento físico, devidamente escondido em vossa casa. nunca, mas nunca mesmo, as tenham guardadas em dispositivos eletrónicos. fica o conselho, segue quem quiser.

  22. Marco says:

    meu rico 1password, nada de senhas na web/cloud. sincronização via wifi.

  23. Dabitech says:

    Procuro uma solução para a minha equipa de suporte, em que somos 8 elementos com diferentes acessos, onde consigo criar grupos de utilizadores e em cada site/nota dar permissão a x utilizadores, sem ter que criar vários ficheiros separados para cada nivel de acesso. Que saiba apenas o lastpass dá para fazer isso facilmente.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.