PplWare Mobile

Cuidado: LastPass tem duas vulnerabilidades de segurança graves


Autor: Pedro Simões

Destaques PPLWARE

  1. Rui Lopes says:

    sera muito dificil guardarem as passwords numa pen encriptada??

  2. Joao 2348 says:

    Infelizmente o SQRL (Secure Quick Reliable Login) ainda não está disponível, pensei que por esta altura já estivesse pronto, mas enfim, o autor está a demorar uma eternidade a lançar o sistema publicamente.
    Mas mesmo este SQRL terá o problema de que se não for executado num dispositivo dedicado somente para esse efeito poderá ver a sua chave privada furtada de alguma maneira e depois lá tem de se andar a mudar a chave privada (felizmente tal pode ser feito de forma segura, mas é um inconveniente).

  3. Diogo53 says:

    Quem é que vai guardar as suas passwords online?

  4. Freitas says:

    Nada melhor do que guardar na nossa cabeça, quando morremos vai connosco 😀

  5. YaBa says:

    Falta dizer aí que a vulnerabilidade só funciona se o utilizador activar o auto-preenchimento e se não tiver autenticação de 2 factores.
    Quem usa este tipo de serviços, no mínimo tem de perder um bom bocado a perceber o conceito e o programa senão dá asneira obviamente.
    Ainda assim, 1Password continua a ser mais fiável, os dados ficam do lado de cá.

    • P says:

      Não sei de onde retiras essa conclusão do artigo que leste

    • Pedro Miguel Santos says:

      conceitos um bocados estranhos estes..

      mas o 1Password é o melhor por esse ponto mesmo

      • YaBa says:

        Estranhos em que sentido?
        Auto-preenchimento: parvoíce neste tipo de programas
        Autenticação de 2 factores: pelo amor da santa, estamos em 2016, se disponibilizam, USEM
        Que tem de estranho?

        • KURT says:

          O objectivo para a maioria é poupar trabalho, não dar mais trabalho, para que queres o lastpass então? Para guardar passwords tens muitas outras opções.
          Arrisco mesmo dizer que a grande maioria dos que usam LastPass é por causa do auto-preenchimento e não é parvoíce nenhuma, depende das prioridades de cada um, parvoíce é usar o lastpass e ter pancadas, a partir do momento em que usas a segurança das tuas passwords depende de terceiros, se realmente tens algum problema com isso nem sequer chegas a usar.

          • Jorge Carvalho says:

            se o motivo para usar algo como o lastpass ou 1password é a preguiça de preencher o login, então o problema reside aí.

            Abc

  6. Anónimo says:

    “Por outro lado, e agora a parte positiva, é que apenas Tavis Ormandy e a equipa do LastPass conhecem a falha, o que a impede de ser explorada por atacantes mal intencionados.” — Isso ou só estes é que se chegaram à frente…
    Nada impede que algum Black-Hat já tenha descoberto a falha há mais tempo, mas que tenham ficado calado… porque para o negócio dele assim é mais proveitoso.

  7. Pedro Soares says:

    De acordo com LastPass, esta vulnerabilidade afecta apenas Firefox. “The recent report only affects Firefox users.”

  8. Kaisersoze says:

    Eu usava Lastpass mas com isto, passei ontem para Keepass.

    • Pedro says:

      Eu já tentei passar definitivamente para o Keepass. Tenho a perfeita noção que actualmente é o mais seguro, mas o LastPass é mais “cómodo”… consigo integra-lo perfeitamente no Firefox (ou Chrome ou Android)… Sei que o Keepass também faz isso, mas tens que o ter instalado e aberto… Desta vez, preferi a “comodidade” à segurança… (porque na internet até isso é relativo…)

      • KURT says:

        Tal como a maioria das pessoas que usa o LastPass, preferem a comodidade e deixam de lado as questão de segurança. Não estou a dizer que é certo ou errado, é uma questão de prioridades, as falhas vão estar constantemente a ser exploradas e corrigidas.

  9. RG says:

    A 1ª falha foi identifica e corrigida há mais de 1 ano. Só agora é que foi revelada. E nem sequer funcionava com autenticação de 2 passos ligada.

    A 2ª parece que só afeta o addon do firefox.

    Eu considero que quem não usa este tipo de serviços está muito mais vulnerável, pois acaba por utilizar a mesma password em diversos sites ( já para não falar de keyloggers).

  10. Diogo Francisco says:

    Quem usa o auto preenchimento do LastPass é porque tem alguma preguiça. Basta consultarem a aplicação e verem a password pretendida e digitam-na.
    Quando estava a acabar o meu curso, utilizei um Sniffer chamado MitmF que foi capaz de captar todas as passwords na rede que eram carregadas através do auto preenchimento para provar as vulnerabilidades destas aplicações.
    Trabalho com bastantes acessos diferentes e não é fácil decorar tudo. Uso o Keepass mas com password mestra e ficheiro de autenticação. Acaba por ser mais fiável sem auto preenchimento!

  11. Bruno says:

    “Update: LastPass has quickly patched the vulnerability reported by Tavis Ormandy and pushed an update with fix for all Firefox users using LastPass 4.”
    http://thehackernews.com/2016/07/lastpass-password-manager.html

  12. darkvoid says:

    KeePass + dropbox… para quê inventar mais?
    Para quê colocar as passwords mais importantes e pessoais num servidor qualquer de terceiros?

    • Jorge Carvalho says:

      Hum ? o Dropbox é teu ? 🙂

      Abc

      • AP says:

        A ideia do keepass é teres um encriptação tão boa que literalmente podes ter a base de dados das passwords com acesso público: sem a password mestre, é inútil.

      • darkvoid says:

        Tenho no dropbox apenas um ficheiro altamente encriptado. Qualquer vulnerabilidade na dropbox e levam um ficheiro que só apenas a NSA poderá desencriptar.
        Agora se as pessoas continuam a por no lastpass tens as passwords no servidor deles sujeito a qualquer coisa….

  13. Lumia 630 DS says:

    Alternativa ao Lastpass.
    Memophante, ou exercício mental. Nao custa nada.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.