Proponha uma correção, faça uma sugestão
Cuidado, há uma nova falha grave a comprometer o LastPass
O LastPass é provavelmente o gestor de passwords mais usado da Internet. Presente em quase todos os sistemas, garante que os utilizadores não esquecem ou perdem uma palavra-passe.
Tal como qualquer outro sistema, também o LastPass está sujeito a falhas. Uma nova foi agora descoberta, estando a empresa já a trabalhar na sua resolução.
Os últimos tempos não têm sido pacíficos para o LastPass, no que toca à segurança. Foram várias as falhas descobertas e prontamente resolvidas, mostrando que este serviço está atento e que garante respostas rápidas.
Mas uma nova falha foi anunciada este fim de semana, por um elemento da equipa Project Zero da Google, que se dedica a avaliar e a procurar falhas nos sistemas e aplicações.
A falha em causa e a forma de ser explorada não foram reveladas, garantindo assim que não pode ser explorada por atacantes, comprometendo a segurança do próprio serviço.
Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy
— Tavis Ormandy (@taviso) March 25, 2017
A LastPass já reagiu a esta nova falha
Assim que foi notificada da falha, a equipa de programadores do LastPass começou a tratar de encontrar uma forma de a resolver. A empresa já reconheceu o problema, numa publicação do seu blog.
This attack is unique and highly sophisticated. We don't want to disclose anything specific about the vulnerability or our fix that could reveal anything to less sophisticated but nefarious parties. So you can expect a more detailed post mortem once this work is complete
Apesar de não existir ainda uma resolução, espera-se que dentro de dias surja uma atualização que a corrija e que resolva de uma vez por todas estes problemas.
Este artigo tem mais de um ano
Loading ...
Mais uma ASSOMBRAÇÃO de privacidade, ou falta dela ?
Eu sempre o usei o BrainPass. É o mais fiável.
Continua a acreditar no pai Natal.
Sugiro um caderno por 40 cêntimo, sai “mais barato”
Um pouco estranho esse comentário, mas nada a que não estejamos habituados. Fala-se de um problema de segurança de uma aplicação que vai desde o desktop até ao browser, passando pelos dispositivos móveis, e surge um “ataque” despropositado…
Ok, fica a nota…
Keepass (offline) não há melhor! Garantido
Também tem falhas de segurança com breaches de .dll (já patched), além de obtendo o .kdbx é uma questão de tempo.
Na minha empresa roda uma solução ISO 27001 certified, com audit trail sobre todas as acções incluindo visualização ou print e acessos às DBs assim como segmentação por user.
A nível pessoal tenho uma tecnologia recente chamada memória 😉
O kbdx pode ser quebrado em quanto tempo? As explicações que ouvi diziam que era algo próximo a alguns milhões de anos.
Informe-se melhor, o kdbx pode ser quebrado sim mas demorar-se-ia muitos anos!
Se tiverem uma password fraca no kdbx podem ter a certeza que não demora anos. Para além disso, não se esqueçam que os hackers controlam tipicamente muitos milhares de máquinas, e não será muito complicado pô-las todas a varrer uns milhões de chaves possíveis em poucas horas, com a agravante que estas até podem trabalhar 24×7 durante meses sem que os seus proprietários disso se apercebam.
Ainda existe crentes a colocar os ovos todos no mesmo cesto?
Antunes, estou curioso! Como gere as suas passwords?
Garanto-te que não as guardo todas no mesmo cesto! O lobo mau anda ai…
É bem feito. Mas quem é a pessoa com dois dedos de testa que vai confiar passwords a um programa a programas informáticos que podem ser crackados? A sério, esta malta não acorda para a vida.
Como é que tens uma afirmacao dessas enquanto usas um sistema eletronico?
Melhor, estás a disponibilizar os teus dados online aqui e a fazer figuras com a tua mentalidade retrógrada.
#Hipocrisia
Ficas com birra quando te criticam? Coitadinho. Depois vem chorar muito que te apanharam as passwords e que são uns malandros, oh inteligente. Ainda bem que sou retrógrado! Esta carneirada não tem mesmo solução. Anda tudo a dormir na forma! Milhares de exemplos de informação que é apanhada por hackers, e o que é que esta malta mete na net? As suas passwords. Olha que inteligentes!
Eu, não tenho problema nenhum pois são passwords de sites que não têm grande importância. Agora sites como Netbanco isso nunca colocaria mas como tenho muitas dezenas de registos em sites e forums é mais simples utilizar o LastPass e não tenho preocupação nenhuma com segurança pois não são sites de grande importância caso alguém tenha acesso aos meus dados de lá.
+1
+1
+1
+1
Ainda não percebi a lógica de segurança que leva o pessoal a usar este tipo de aplicações. As passwords são para estar guardadas na memória ou num auxiliar.
Péssima ideia.
A não ser que o auxiliar seja um password manager, é uma péssima ideia isso da memória.
Guardas as chaves dentro do cofre???
Sim, guardo as chaves dentro do cofre, em que só eu sei a combinação do cofre.
É algo assim tão estranho?
Esse cofre é muito mais fácil de abrir do que pensas…
O problema em guardar as passwords na memoria e’ que e’ muito limitada. Pode haver lapsos de memoria, alem de ser impossivel um cerebro memorizar varias passwords seguras. Por exemplo. eu tenho mais de 150 passwords no meu gestor de passwords (e nao sao muitas) todas elas sao diferentes, nao significam nada pois sao uma cadeia de mais de 30 caracteres. seria impossivel para mim memorizar tudo. Escrever num papel estaria fora de questao uma vez que digitar cada cadeia de caracteres do genero: &gagdTFA534kLsaad*ttasbsdrw45 senmpre que quisesse aceder ao email…. Ainda por cima o que acontece se o papelinho com as passwords cair nas maos erradas ou nao o tiver consigo?
O auxiliar que refere pode muito bem ser um gestor de passwords onde elas sao armazenadas e ENCRIPTADAS. Existem varios gestores de passwords, LastPass e’ apenas um com vatagens e desvantagens (como tudo na vida). Um gestor de passwords fortes e autenticacao por 2 factores e’ na mioria dos casos a melhor opcao para as nossas contas estarem seguras online.
Mesmo com os 2 fatores, podem haver vulnerabilidades no site dos provedores de solução que permitam hackers ascender aos dados sem passar por esse tipo de verificação. Além de que deve-se confiar no provedor da solução, pois ele têm acesso aos dados.
Para senhas de sites na internet eu uso o Firefox Sync, que é sucessor de um mais antigo, chamado X-Marks (antes Fox-Marks). São gestores de bookmarks, mas que evoluiram para gerenciar senhas. Mas para senhas mais sensíveis eu estou estudando usar o keePass.
Uma correção… O Xmarks é dá Lastpass..
Passwordsafe.
Pelo que entendi e vi, pela fotografia, a falha tem haver com o programa em si, e não com os servidores. Mesmo assim, coloco a questão, sabendo que uma pessoa ao longo dos anos “acumula” centenas de sites, foruns, etc que usam passwords: O que é mais seguro? Criar centenas de passwords diferentes para cada site e tê-las geridas por um software (seja keepass, lastpass, passwordsafe, etc), ou ter meia duzia delas e utiliza-las várias vezes em vários sites?…
E sim… eu sei que o mais “seguro” (até nos roubarem) é tê-las todas diferentes, num “bloquinho” que guardamos no bolso… Dualidade entre “ser prático” e “ser seguro”…
Nunca mas nunca entendi o porquê de usar passwords na cloud.
KeePass acima de tudo.
No LastPass as passwords não estão na cloud, são encriptadas localmente (AES-256 bit), e apenas estes dados encriptados são enviados e guardados nos servers deles. Portanto, sem a master password nada feito. 🙂
Hoje em dia estar num computador ligado à net é estar numa cloud, mesmo que tenhas todas as passwords numa pen offline que só ligas para aceder aos sites, ou num bloco de papel, acabas sempre por estar “vulnerável” no momento que as estás a utilizar. Claro que tê-las permanentemente num pass manager na cloud é sempre um risco acrescido, mas tb não é assim tão inseguro, estão bem protegidos e em cima do acontecimento. E como já disseram é uma questão de equilibrar o prático com o seguro. Usar passmanagers para os sites mais “inofensivos” e guardar na memória ou num bloco de notas, com encriptação manual 🙂 as passwords mais sensíveis como netbancos e afins. O Lastpassword é bastante prático para ter as passwords em qualquer lugar com acesso à net, e não tens o problema de te esqueceres do bloco de nota ou pen em casa. Claro que cada um faz o que acha melhor.
Amigo, diga isso quando sofrer um ransonware… Se acha que em “seu mundinho” os ataques não te afetam… É hora de repensar na tua vida digital… Hehehe
Soubeste do “The Fappening”…
Com certeza nada é 100% seguro, isso não há dúvidas.
Porém utilizo sim o LastPass a muito tempo já.
No dia que quebrarem minha senha master de 28 caracteres (hoje) e a contra senha, aí volto a usar papel.
Autenticação de 2 fatores é fundamental, e foi o que eu quis dizer com “contra senha”.
Eu também, só que a minha master tem muito mais que 28 caracteres e para além disso requer um segundo factor de autenticação.
Outra coisa que normalmente se esquecem é que que podemos limitar as opções de utilização, entre outras funcionalidades interessantes para proteger mais ainda o nosso acesso.
A única maneira de estar um pouco mais seguro é usar passwords muito fortes e gestores com vários factores de autenticação. Lastpass é dos mais seguros, ainda assim, desde utilizado com master passwords muito fortes e combinado com OTPs, pelo menos, ou 2FAs mais sofisticados, como as yubikeys. Os gestores offline (keepass, passwordsafe, etc) são mais inseguros, embora alguns permitam 2FAs, tornando-se assim melhores opções.
Esta coisa de nome de utilizador e palavras-chaves tem de terminar de vez.
O que gostaria de ver implementado a 100% seria o FIDO [quando finalmente utilizarem um algoritmo realmente seguro e não aqueles criados pela NSA (P-256, P-384 e P-521)]. ou então o SQRL (que ainda está em desenvolvimento).
Das duas soluções o FIDO é o que parece mais segura se passarem a usar um algoritmo como o M-511 ou E-521, ou então o SQRL que é um pouco menos seguro mas mais flexível (pode usar-se a mesma chave privada até para várias contas no mesmo web site de forma segura) qualquer uma das soluções obviamente sempre usando um dispositivo físico dedicado somente a essa finalidade, para ser realmente seguro.
Na realidade pode perfeitamente utilizar-se o SQRL para autenticar-se na conta desejada e depois o FIDO para o segundo factor de autenticação por exemplo (se tiver compreendido correctamente como o FIDO funciona).
Utilizei por um ano o Lastpass, mas depois de testar usar o Enpass nunca mais larguei.
Cada vez que vejo coisas do LastPass e vulnerabilidades dá-me vontade de rir (ou melhor chorar)
O Lastpass é um serviço online! As passwords vão pela intenet e são guardadas por terceiros!
Só pessoas ignorantes é que usariam um serviço desses, sujeito a exploits e tudo mais!
A alternativa segura é usar o Keepass e só alimentado quando o cabo de rede estiver desligado!
Eu diria que só ignorantes é que podem fazer afirmações como esta, assim como acreditar que estarão seguros se usarem um serviço offline como o Keepass com o cabo de rede desligado!