Proponha uma correção, faça uma sugestão
Cuidado: LastPass tem duas vulnerabilidades de segurança graves
O LastPass é um dos serviços de alojamento de palavras passe mais usados na Internet. Com uma interface simples, consegue dar aos utilizadores a segurança necessária para terem os seus logins guardados e prontos a ser usados quando são necessários.
Mas este serviço tem duas falhas que agora foram descobertas, sendo simples de enganar e de levar a que as palavras passe sejam reveladas onde não devem.
Estas duas falhas são consideradas muito graves pois permitem que qualquer atacante possa obter os dados de acesso dos utilizadores a determinados serviços, levando assim a que exista uma perda de segurança.
Ambas as falhas foram identificadas e uma delas foi prontamente resolvida pela equipa do LastPass. A segunda ainda não está completamente tratada, estando a equipa responsável a trabalhar dela para a resolver tão depressa quanto possível.
Primeira falha LastPass: Identificação errada de sites
Esta primeira falha está na função que o LastPass usa para perceber em que site está. Ao consultar o endereço do browser, esta determina o site e fornece as credenciais, caso as tenha armazenadas.
Um investigador de segurança percebeu que esta função tem um erro e pode ser facilmente enganada para que pense estar noutro site e assim um atacante pode obter os dados, tudo graças ao preenchimento automático dos dados.
Esta falha foi já corrigida e a função de descoberta de sites melhorada para que seja impossível "enganá-la".
Segunda falha LastPass: Serviço totalmente comprometido
Esta segunda falha foi descoberta por um elemento da equipa do Google Project Zero. Tavis Ormandy avaliou este serviço e detectou uma falha que compromete de forma total o LastPass, levando a que todas as palavras passe do utilizador sejam reveladas a um atacante.
A má notícia neste momento é que esta falha não foi ainda resolvida pela LastPass, estando a mesma a ser trabalhada. Por outro lado, e agora a parte positiva, é que apenas Tavis Ormandy e a equipa do LastPass conhecem a falha, o que a impede de ser explorada por atacantes mal intencionados.
Este artigo tem mais de um ano
Loading ...
sera muito dificil guardarem as passwords numa pen encriptada??
Perdes a pen perdes as passwords
lol
Se preferes ter as tuas passwords num local alheio, isso é contigo.
lolx3
Infelizmente o SQRL (Secure Quick Reliable Login) ainda não está disponível, pensei que por esta altura já estivesse pronto, mas enfim, o autor está a demorar uma eternidade a lançar o sistema publicamente.
Mas mesmo este SQRL terá o problema de que se não for executado num dispositivo dedicado somente para esse efeito poderá ver a sua chave privada furtada de alguma maneira e depois lá tem de se andar a mudar a chave privada (felizmente tal pode ser feito de forma segura, mas é um inconveniente).
Quem é que vai guardar as suas passwords online?
Nada melhor do que guardar na nossa cabeça, quando morremos vai connosco 😀
Espero que nunca sofras de Alzheimer! Que me desculpem os mais sensíveis!
Se sofrer também já não preciso de passes para nada, já nem me vou lembrar que tenho facebook ou sei la mais o qué 😀
Falta dizer aí que a vulnerabilidade só funciona se o utilizador activar o auto-preenchimento e se não tiver autenticação de 2 factores.
Quem usa este tipo de serviços, no mínimo tem de perder um bom bocado a perceber o conceito e o programa senão dá asneira obviamente.
Ainda assim, 1Password continua a ser mais fiável, os dados ficam do lado de cá.
Não sei de onde retiras essa conclusão do artigo que leste
Porque li o artigo original do autor da exploit.
conceitos um bocados estranhos estes..
mas o 1Password é o melhor por esse ponto mesmo
Estranhos em que sentido?
Auto-preenchimento: parvoíce neste tipo de programas
Autenticação de 2 factores: pelo amor da santa, estamos em 2016, se disponibilizam, USEM
Que tem de estranho?
O objectivo para a maioria é poupar trabalho, não dar mais trabalho, para que queres o lastpass então? Para guardar passwords tens muitas outras opções.
Arrisco mesmo dizer que a grande maioria dos que usam LastPass é por causa do auto-preenchimento e não é parvoíce nenhuma, depende das prioridades de cada um, parvoíce é usar o lastpass e ter pancadas, a partir do momento em que usas a segurança das tuas passwords depende de terceiros, se realmente tens algum problema com isso nem sequer chegas a usar.
se o motivo para usar algo como o lastpass ou 1password é a preguiça de preencher o login, então o problema reside aí.
Abc
“Por outro lado, e agora a parte positiva, é que apenas Tavis Ormandy e a equipa do LastPass conhecem a falha, o que a impede de ser explorada por atacantes mal intencionados.” — Isso ou só estes é que se chegaram à frente…
Nada impede que algum Black-Hat já tenha descoberto a falha há mais tempo, mas que tenham ficado calado… porque para o negócio dele assim é mais proveitoso.
De acordo com LastPass, esta vulnerabilidade afecta apenas Firefox. “The recent report only affects Firefox users.”
Pois… ops, eu uso o LastPass e o Firefox 🙂 …
Eu usava Lastpass mas com isto, passei ontem para Keepass.
Eu já tentei passar definitivamente para o Keepass. Tenho a perfeita noção que actualmente é o mais seguro, mas o LastPass é mais “cómodo”… consigo integra-lo perfeitamente no Firefox (ou Chrome ou Android)… Sei que o Keepass também faz isso, mas tens que o ter instalado e aberto… Desta vez, preferi a “comodidade” à segurança… (porque na internet até isso é relativo…)
Tal como a maioria das pessoas que usa o LastPass, preferem a comodidade e deixam de lado as questão de segurança. Não estou a dizer que é certo ou errado, é uma questão de prioridades, as falhas vão estar constantemente a ser exploradas e corrigidas.
A 1ª falha foi identifica e corrigida há mais de 1 ano. Só agora é que foi revelada. E nem sequer funcionava com autenticação de 2 passos ligada.
A 2ª parece que só afeta o addon do firefox.
Eu considero que quem não usa este tipo de serviços está muito mais vulnerável, pois acaba por utilizar a mesma password em diversos sites ( já para não falar de keyloggers).
Quem usa o auto preenchimento do LastPass é porque tem alguma preguiça. Basta consultarem a aplicação e verem a password pretendida e digitam-na.
Quando estava a acabar o meu curso, utilizei um Sniffer chamado MitmF que foi capaz de captar todas as passwords na rede que eram carregadas através do auto preenchimento para provar as vulnerabilidades destas aplicações.
Trabalho com bastantes acessos diferentes e não é fácil decorar tudo. Uso o Keepass mas com password mestra e ficheiro de autenticação. Acaba por ser mais fiável sem auto preenchimento!
“Update: LastPass has quickly patched the vulnerability reported by Tavis Ormandy and pushed an update with fix for all Firefox users using LastPass 4.”
http://thehackernews.com/2016/07/lastpass-password-manager.html
KeePass + dropbox… para quê inventar mais?
Para quê colocar as passwords mais importantes e pessoais num servidor qualquer de terceiros?
Hum ? o Dropbox é teu ? 🙂
Abc
A ideia do keepass é teres um encriptação tão boa que literalmente podes ter a base de dados das passwords com acesso público: sem a password mestre, é inútil.
Tenho no dropbox apenas um ficheiro altamente encriptado. Qualquer vulnerabilidade na dropbox e levam um ficheiro que só apenas a NSA poderá desencriptar.
Agora se as pessoas continuam a por no lastpass tens as passwords no servidor deles sujeito a qualquer coisa….
Têm uma alternativa ao Lastpasswod
http://www.roboform.com/
https://1password.com/
Alternativa ao Lastpass.
Memophante, ou exercício mental. Nao custa nada.
LOL Memophante.
You sir, made my day!