PplWare Mobile

Cuidado, há uma nova falha grave a comprometer o LastPass

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Alvega says:

    Mais uma ASSOMBRAÇÃO de privacidade, ou falta dela ?

  2. Paulo says:

    Keepass (offline) não há melhor! Garantido

    • José Rodrigues says:

      Também tem falhas de segurança com breaches de .dll (já patched), além de obtendo o .kdbx é uma questão de tempo.
      Na minha empresa roda uma solução ISO 27001 certified, com audit trail sobre todas as acções incluindo visualização ou print e acessos às DBs assim como segmentação por user.
      A nível pessoal tenho uma tecnologia recente chamada memória 😉

      • Evandro says:

        O kbdx pode ser quebrado em quanto tempo? As explicações que ouvi diziam que era algo próximo a alguns milhões de anos.

      • darkvoid says:

        Informe-se melhor, o kdbx pode ser quebrado sim mas demorar-se-ia muitos anos!

      • N'uno says:

        Se tiverem uma password fraca no kdbx podem ter a certeza que não demora anos. Para além disso, não se esqueçam que os hackers controlam tipicamente muitos milhares de máquinas, e não será muito complicado pô-las todas a varrer uns milhões de chaves possíveis em poucas horas, com a agravante que estas até podem trabalhar 24×7 durante meses sem que os seus proprietários disso se apercebam.

  3. Antunes says:

    Ainda existe crentes a colocar os ovos todos no mesmo cesto?

  4. Jarvis says:

    É bem feito. Mas quem é a pessoa com dois dedos de testa que vai confiar passwords a um programa a programas informáticos que podem ser crackados? A sério, esta malta não acorda para a vida.

  5. censo says:

    Ainda não percebi a lógica de segurança que leva o pessoal a usar este tipo de aplicações. As passwords são para estar guardadas na memória ou num auxiliar.

    • P says:

      Péssima ideia.
      A não ser que o auxiliar seja um password manager, é uma péssima ideia isso da memória.

    • Wallace says:

      O problema em guardar as passwords na memoria e’ que e’ muito limitada. Pode haver lapsos de memoria, alem de ser impossivel um cerebro memorizar varias passwords seguras. Por exemplo. eu tenho mais de 150 passwords no meu gestor de passwords (e nao sao muitas) todas elas sao diferentes, nao significam nada pois sao uma cadeia de mais de 30 caracteres. seria impossivel para mim memorizar tudo. Escrever num papel estaria fora de questao uma vez que digitar cada cadeia de caracteres do genero: &gagdTFA534kLsaad*ttasbsdrw45 senmpre que quisesse aceder ao email…. Ainda por cima o que acontece se o papelinho com as passwords cair nas maos erradas ou nao o tiver consigo?

      O auxiliar que refere pode muito bem ser um gestor de passwords onde elas sao armazenadas e ENCRIPTADAS. Existem varios gestores de passwords, LastPass e’ apenas um com vatagens e desvantagens (como tudo na vida). Um gestor de passwords fortes e autenticacao por 2 factores e’ na mioria dos casos a melhor opcao para as nossas contas estarem seguras online.

      • Xinuo says:

        Mesmo com os 2 fatores, podem haver vulnerabilidades no site dos provedores de solução que permitam hackers ascender aos dados sem passar por esse tipo de verificação. Além de que deve-se confiar no provedor da solução, pois ele têm acesso aos dados.

        Para senhas de sites na internet eu uso o Firefox Sync, que é sucessor de um mais antigo, chamado X-Marks (antes Fox-Marks). São gestores de bookmarks, mas que evoluiram para gerenciar senhas. Mas para senhas mais sensíveis eu estou estudando usar o keePass.

  6. int3 says:

    Passwordsafe.

  7. Pedro says:

    Pelo que entendi e vi, pela fotografia, a falha tem haver com o programa em si, e não com os servidores. Mesmo assim, coloco a questão, sabendo que uma pessoa ao longo dos anos “acumula” centenas de sites, foruns, etc que usam passwords: O que é mais seguro? Criar centenas de passwords diferentes para cada site e tê-las geridas por um software (seja keepass, lastpass, passwordsafe, etc), ou ter meia duzia delas e utiliza-las várias vezes em vários sites?…
    E sim… eu sei que o mais “seguro” (até nos roubarem) é tê-las todas diferentes, num “bloquinho” que guardamos no bolso… Dualidade entre “ser prático” e “ser seguro”…

  8. Carlos Costa says:

    Nunca mas nunca entendi o porquê de usar passwords na cloud.
    KeePass acima de tudo.

    • sever says:

      No LastPass as passwords não estão na cloud, são encriptadas localmente (AES-256 bit), e apenas estes dados encriptados são enviados e guardados nos servers deles. Portanto, sem a master password nada feito. 🙂

    • Rolha says:

      Hoje em dia estar num computador ligado à net é estar numa cloud, mesmo que tenhas todas as passwords numa pen offline que só ligas para aceder aos sites, ou num bloco de papel, acabas sempre por estar “vulnerável” no momento que as estás a utilizar. Claro que tê-las permanentemente num pass manager na cloud é sempre um risco acrescido, mas tb não é assim tão inseguro, estão bem protegidos e em cima do acontecimento. E como já disseram é uma questão de equilibrar o prático com o seguro. Usar passmanagers para os sites mais “inofensivos” e guardar na memória ou num bloco de notas, com encriptação manual 🙂 as passwords mais sensíveis como netbancos e afins. O Lastpassword é bastante prático para ter as passwords em qualquer lugar com acesso à net, e não tens o problema de te esqueceres do bloco de nota ou pen em casa. Claro que cada um faz o que acha melhor.

    • Luiz Souza says:

      Amigo, diga isso quando sofrer um ransonware… Se acha que em “seu mundinho” os ataques não te afetam… É hora de repensar na tua vida digital… Hehehe

  9. Pedro says:

    Soubeste do “The Fappening”…

  10. José Colzani says:

    Com certeza nada é 100% seguro, isso não há dúvidas.
    Porém utilizo sim o LastPass a muito tempo já.
    No dia que quebrarem minha senha master de 28 caracteres (hoje) e a contra senha, aí volto a usar papel.

  11. N'uno says:

    A única maneira de estar um pouco mais seguro é usar passwords muito fortes e gestores com vários factores de autenticação. Lastpass é dos mais seguros, ainda assim, desde utilizado com master passwords muito fortes e combinado com OTPs, pelo menos, ou 2FAs mais sofisticados, como as yubikeys. Os gestores offline (keepass, passwordsafe, etc) são mais inseguros, embora alguns permitam 2FAs, tornando-se assim melhores opções.

  12. Joao 2348 says:

    Esta coisa de nome de utilizador e palavras-chaves tem de terminar de vez.

    O que gostaria de ver implementado a 100% seria o FIDO [quando finalmente utilizarem um algoritmo realmente seguro e não aqueles criados pela NSA (P-256, P-384 e P-521)]. ou então o SQRL (que ainda está em desenvolvimento).

    Das duas soluções o FIDO é o que parece mais segura se passarem a usar um algoritmo como o M-511 ou E-521, ou então o SQRL que é um pouco menos seguro mas mais flexível (pode usar-se a mesma chave privada até para várias contas no mesmo web site de forma segura) qualquer uma das soluções obviamente sempre usando um dispositivo físico dedicado somente a essa finalidade, para ser realmente seguro.

    Na realidade pode perfeitamente utilizar-se o SQRL para autenticar-se na conta desejada e depois o FIDO para o segundo factor de autenticação por exemplo (se tiver compreendido correctamente como o FIDO funciona).

  13. Márcio says:

    Utilizei por um ano o Lastpass, mas depois de testar usar o Enpass nunca mais larguei.

  14. darkvoid says:

    Cada vez que vejo coisas do LastPass e vulnerabilidades dá-me vontade de rir (ou melhor chorar)
    O Lastpass é um serviço online! As passwords vão pela intenet e são guardadas por terceiros!
    Só pessoas ignorantes é que usariam um serviço desses, sujeito a exploits e tudo mais!

    A alternativa segura é usar o Keepass e só alimentado quando o cabo de rede estiver desligado!

    • N'uno says:

      Eu diria que só ignorantes é que podem fazer afirmações como esta, assim como acreditar que estarão seguros se usarem um serviço offline como o Keepass com o cabo de rede desligado!

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.