Proponha uma correção, faça uma sugestão
Alerta: LastPass foi atacado! Mude as suas passwords
O serviço LastPass é um dos melhores que existem na Internet quanto a tarefa é guardar password. Permite uma integração com todos os browsers do mercado e tem inclusive uma aplicação para Windows.
Mas a empresa admitiu recentemente que foi alvo de um ataque, tendo sido comprometidos vários dados pessoais dos utilizadores.
Com o LastPass conseguimos ter na nuvem, de forma segura, todas as nossas passwords e acedemos-lhe facilmente. Cientes da informação que têm do seu lado, os gestores deste serviço estão constantemente a monitorizar tudo o que se passa no seu serviço e nas máquinas que o prestam.
Recentemente, através de um artigo publico no blog da empresa, a LastPass informou que detectou e bloqueou na passada Sexta-Feira actividade suspeita na rede. Segundo a investigação realizada, não há evidências que a informação cifrada e sensível dos utilizadores tenha sido obtida pelos atacantes. No entanto a empresa alerta para o facto das contas de e-mail, hashes de autenticação, entre outra informação possa ter sido comprometida.
We want to notify our community that on Friday, our team discovered and blocked suspicious activity on our network. In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, no entanto, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.
A empresa pede aos utilizadores que têm uma password master fraca para que procedam à alteração da mesma e no caso de a usarem em outros sites para a alterar imediatamente.
If you have a weak master password or if you have reused your master password on any other website, please update it immediately. So replace the passwords on those other websites.
Via LastPass
Este artigo tem mais de um ano
Loading ...
Gostei da “aporteguesação” …
“The investigation has shown, NO ENTANTO, that LastPass account email addresses, “
Pois, a empresa escreve PT e inglês tudo junto. Eu até pensei que tinha vírus no PC 😀
Heheh
Porquê que eles não informaram diiretamente os utilizadores deste problema?
Não se admite.
porque parecia mal estarem a admitir que fizeram merda…
então deixa de usar…
nos termos de aceitação do serviço estava lá algo a dizer que eles eram obrigados a comunicar estas macacadas?
Avisaram directamente sim:
“Dear LastPass User,
We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.
We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.
We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.
Regards,
The LastPass Team “
Sempre estive de pé atrás em usar um gestor de passwords…. estas noticias cada vez mais reforçam a ideia de que seguro só mesmo a nossa cabeça e mesmo assim……
Sempre pode experimentar gerar a sua password sempre que necessita, em vez de a guardar. Simples e seguro! Gostava de ter a sua opinião.
http://www.passwordbakery.net/index.php
Curioso, o pw bakery funciona com o mesmo principio que eu uso para criar pw: nome do site/serviço + uma pass (normalmente geral com caracteres especiais e maisculas), que combina para criar uma pw única e dessa forma nunca me esqueço. Mas no teu caso a pw final é completamente aleatoria (não é facil criar um bom algoritmo pois não?), o que faz com que os 2 passos iniciais sejam desnecessários. E a nível de design deixa muito a desejar (e isso é dizer pouco). Se queres fazer alguma app util e facil podias fazer uma calculadora com formulas de fisica (não existe nada de jeito na playstore), como a que está neste site: http://hyperphysics.phy-astr.gsu.edu/hbase/flobj.html
pois…. ainda bem que me livrei do LastPass já à muito tempo… ter as minhas passwords num servidor alheio não era lá muito agradável.
agora é KeePass all the way.
Sim também não acho boa ideia ter as pass do outro lado … e também uso o keepass
+1
Mal li a noticia foi tipo “OUTRA VEZ?!” Nah.. eu só uso keeppass e chega bem. Não quero as minhas passes em servidores manhosos.
+1
KeePass + Dropbox é a melhor solução que já tive para Password Manager não troco por nada! E ainda é grátis.
Epic fail!Lol
o problema presiste… “weak passwords”
persiste*
Pois, os sistemas assim “não aguentam” !
LOL porque insistem em guardar TODAS as passwords NA CLOUD?
é erro logo por definição: meter informação sensivel na cloud e confiar nos outros.
KeePass é o ÚNICO local, que dá para sincronizar e opensource!
Boas,
não utilizo este tipo de serviço, utilizo um documento com password onde tenho dicas para as passwords que utilizo. O que é realmente pena é que existam pessoas direccionadas apenas para hackear este tipo de sites, é pena também os sites não investirem em protecção e mais que tudo isto é pena os utilizadores continuarem a utilizar passwords do género “123456” ou “qwerty”.
O que recomendo a todos os que conheço é utilizarem um nº que seja familiar com caracteres especiais e letras maiúsculas e minúsculas.
depois aparece um rasomware e come-te os ficheiros todos?
o que recomendas tambem é válido para ti? senhas são faceis de adivinhar….. existe uma coisa que aprendi a pouco tempo que existe chamada engenharia social, cuidado 😉
o problema é que 90% dos que vao ler esta noticia pensam que as passwords foram roubadas, o que esteve longe de acontecer, este serviço é do mais transparente que conheço, revelam sempre que foram atacados embora até hoje nao se conhece nenhum caso de roubo efectivo das passwords encriptadas. E com autenticação multifactor é mesmo muito improvável que ocorra algum roubo de informaçao util… por mim continuo a usar….
Afinal alguém leu o artigo original 😉
Cumps.
O receio de usar o serviço vem da pura ignorância quanto a forma como as coisas acontecem realmente. Você tem toda a razão.
lol piadas… guardar passwords na cloud.. muito útil super seguro, viva a cloud…
quero ver a IOT…. até choram
cloud não é o futuro
usar um gestor de passords sim, mas na cloud nao, é estar mesmo a pedi-las, será que esta malta nao aprende?
Sou utilizador premium deste serviço à três anos e apesar desta notícia continuo a considerar que esta é uma das melhores soluções para armazenar passwords de forma segura, no entanto penso que devemos ter alguns cuidados acrescidos: acesso online only; strong master password; passwords únicas e autenticação mulfifactor, com estes cuidados não razão para não utilizar estes serviços., mas como tudo, todas as seguranças só são seguras até serem quebradas…
Continua a ser muito mais seguro ter uma password como “eufuialiao3correr” do que andar com gestores de passwords. Mesmo nos vossos computadores (então com serviços que permitem sincronização com outros dispositivos…) é preciso ter cuidado. Muitos desses programas possuem talkback e permitem que as vossas pass sejam enviadas para servidores externos.
Inventem frases que não tenham sentido para outras pessoas mas que vocês não se esqueçam. 100% de passwords guardadas (seja na cloud ou no pc) são possíveis de aceder remotamente. Ter uma pass mesmo que fraca, acaba por ser mais seguro do que andar a mostrar que possuem contas em 200000 serviços diferentes.
Outro dos problemas é as pessoas terem 10 contas de email, 500 contas do facebook, 200 contas no twitter, 200 contas no jogo oooooo, 100 contas no jogo iiiii e terem 100 serviços diferentes que precisam de autenticações. A maioria destas pessoas não precisa de mais de 1 a 2 contas em cada coisa. Com isso já conseguem controlar as vossas pass sem precisarem de gestores.
Também presumo que anda por aí muita gente com os pins dos cartões e serviços bancários guardados em ficheiros nos vossos telemóveis?
Eu também utilizo frases, no entanto cheias de símbolos de substituição ou extra.
Utilizo o 1password, que tem uma master password super forte (24 carateres). Obviamente que qd preciso consultar no iphone tem um pin com apenas 1 tentativa.
Além disso, tenho autenticação a 2 factores.
continua, fala mias
diz já agora as letras do inicio meio e fim..
fala porque a internet é segura o suficiente para poderes madnar dados assim para o ar
Eu disse alguma coisa. Apenas citei que uso a maioria dos critérios para a construção de uma boa password. Qual é a cena? ter dito que tem 24 caracteres? vais longe com isso. No máximo desencorajo seja quem for.
A única regra que quebro é dizer que tenho uma password forte e uma das primeira regras é a descrição.
Nada como um bloco de notas…
Bom, minha senha mestra tem apenas 23 caracteres, entre números, letras, e outros símbolos. Boa sorte aos hackers.
Claro que não é impossível de se quebrar, mas acho bem difícil.
Continuo usando e confiando.
Depois de ler seu comentário, só me resta lhe desejar sorte…. muita mesmo.
Ah aquele ditado, ” o seguro morreu velho”
enquanto isso vou abrindo mão de serviços como evernote, dropbox, gdrive e adotando outras soluções como keepass, owncloud, omni notes/laverna.
+ 1
A preocupação é não utilizar a mesma senha para todos os serviços… Podemos ter uma senha incrivelmente segura, mas utilizar a mesma num site manhoso que não faça a cifragem das senhas ou que não tenha mecanismo de autenticação seguro para que a nossa senha perca toda a segurança.
A autenticação por dois ou mais passos é um complemento adicional de segurança que devem utilizar. É mais uma camada de segurança que não precisa de trocar informações com serviços online e por isso mais segura.
E claro que vc anda com ela num ficheiro de texto desencriptado, né ?
Hehehe, claro que não Zé Manel!
Antes de eu escolher uma senha, eu a digito várias vezes no teclado, por alguns dias, até memorizar ela. E eu sequer sei pronunciar minha senha, apenas digitar.
a sério?
vives num mundo a parte, podes ter isso tudo vai ser decifrável a mesma
e as “senhas mestras” não costumam correr lá muito bem, um keylogger e lá se vão todos os teus “serviços mestres”
Há e é claro, esqueci de falar da autenticação de dois fatores. Mesmo que um dia quebrem a senha, tem mais esse “pequeno” empecilho.
Quanto a mesma senha em vários sites…eu nem sei a senha dos sites que acesso, justamente por isso uso o lastpass, ele gera na forma que eu quero e as memoriza. Simples assim.
Não é necessário mudar as palavras-passe todas, calma lá com isso, informem-se primeiro antes de criar o pânico. Isto não é o Correio da Manhã.
O LastPass não guarda as palavras-passe na cloud sem encriptação, nem sequer tem acesso às chaves de acesso a elas, portanto os hackers até poderiam roubar todo o tipo de algaraviada de texto que não é possível ter acesso a elas sem as chaves públicas e privadas.
Incentivem, SIM, à activação da autenticação em dois passos. É simples e deixa todos mais descansados.
enganas-te isto é o correio da manhã
sensacionalismo a torto e a direito
Se quiserem saber como REALMENTE o serviço do LastPass funciona, vejam/oiçam este episódio do Security Now, onde o Steve Gibson explica o serviço e como funciona.
https://www.youtube.com/watch?v=r9Q_anb7pwg
é melhor informar do que desinformar, não sejam como os outros.
Melhor local para haurdar passwords.. No cerebro
“LastPass é um dos melhores que existem na Internet quanto a tarefa é guardar password”.
Simplesmente antagónico…
Discordo.
Exprimi-me mal. As minhas desculpas.
O que quis dizer é que guardar passwords na Internet é que é antagónico…
Eu utilizo o LastPass e nem me vou preocupar em mudar a pass porque também não tenho lá nada de muito importante como acessos ao netbanco e sites importantes.
todo e qualquer software que usem para guardar passwords é falível e passível de ser hackeado, mais cedo ou mais tarde. deixem-se de modernices e guardem as vossas passwords apenas e só em documento físico, devidamente escondido em vossa casa. nunca, mas nunca mesmo, as tenham guardadas em dispositivos eletrónicos. fica o conselho, segue quem quiser.
meu rico 1password, nada de senhas na web/cloud. sincronização via wifi.
+1
Procuro uma solução para a minha equipa de suporte, em que somos 8 elementos com diferentes acessos, onde consigo criar grupos de utilizadores e em cada site/nota dar permissão a x utilizadores, sem ter que criar vários ficheiros separados para cada nivel de acesso. Que saiba apenas o lastpass dá para fazer isso facilmente.