Proponha uma correção, faça uma sugestão
Usa um gestor de passwords? Então os seus dados podem não estar protegidos
Uma das medidas mais básicas de segurança é a utilização de um gestor de passwords. É um conselho recorrente e que tem dado provas de que é seguro e útil.
O que não se sabia era que estes gestores nem sempre são seguros e que os dados que recolhem podem ser acedidos. Este é feito facilmente através de uma simples consulta à memória do equipamento onde correm.
Por norma a confiança dos utilizadores nos gestores de passwords é total. A segurança que prometem dar aos utilizadores torna-os essenciais e uma ferramenta a ter sempre presente. A somar a isto temos a facilidade de utilização e a integração com os sistemas operativos e browsers.
Os gestores de passwords têm uma falha de segurança
Uma análise de segurança feita pela Independent Security Evaluators (ISE) vem agora deitar por terra esta ideia. Foi revelado que as principais aplicações têm falhas de segurança e que podem revelar as passwords com uma simples analise da memória do sistema operativo.
As apps analisadas revelaram que guardam a password mestra em claro na memória do PC. Isto significa que quem aceder ao computador pode lê-la facilmente. Dai em diante pode facilmente aceder a todas as passwords armazenadas.
A password mestra está acessível em claro na memória
Os investigadores descobriram também que esta mesma password mestra continua em claro na memória mesmo quando a app está bloqueada. Neste estado o acesso aos dados é impedido, obrigando o utilizador desbloqueá-lo novamente. Esperava-se que nestes momentos os dados estivessem seguros.
Claro que existe a condicionante de que este ataque requer acesso físico ou remoto ao PC, havendo uma autenticação. Há ainda a garantia de que estes gestores tornam os utilizadores mais protegidos por exigirem palavras passe de acesso complexas.
O resumo destas descobertas revela as fragilidades destas apps, sem qualquer dúvida. No entanto mostram também que podem ser usadas se forem abertas, a informação retirada e de imediato fechadas. O problema existe se forem mantidas abertas e acessíveis no sistema
Este artigo tem mais de um ano
Neste artigo: gestor, memória, passwords, protegidos, Segurança
Loading ...
Eu por acaso sou da opinião que uma medida de segurança básica é NÃO usar um gestor de passwords… bem sei que memorizar dezenas de passwords é tarefa quase impossível, mas eu uso uma fórmula muito simples: uma combinação de letras, números e caracteres especiais que alteram conforme a plataforma a que dizem respeito. Fácil de memorizar, passwords diferentes para todas as plataformas e sem usar um gestor de passwords. Que vos parece?
+1 Faço exactamente isso!
+1. Usava o lastpass, mas devido às broncas e o facto de não ser multi plataforma, apaguei a conta. Agora uso uma menemonica complexa que varia apenas com a plataforma que uso.
não é multiplataforma???? está em qualquer browser.
é também a minha estratégia!!
Parabéns. Mais uma linha num cracker de passwords e todas as tuas passwords são fáceis. Milhares de pessoas que trabalham na área de segurança dizem todas: USEM UM GESTOR DE PASSWORDS.
Mas o Nuno é mais experto que os outros claramente. Recomendo visitar https://haveibeenpwned.com/ para ganhar um pouco de humildade e respeito pelos investigadores de segurança.
Não sou mais experto, nem sequer mais esperto. Dei a minha opinião, não dei um veredicto. Respeito toda a gente e todas as opiniões. Faça o mesmo, vai ver que se sente melhor.
Nesse caso sugiro que reavalies a tua técnica de gestão de passwords, pois posso-te dizer que pouco mais seguro é do que usares a mesma password em todo lado: afinal de contas, estás a usar o mesmo algortimo para todo o lado.
Quer dizer que se eu for ao leak da Adobe, posso ver que a tua password é ATUMazeiteadobe, facilmente um crawler converte isso para [base password] + [site tag].
Se leres o artigo, verás que a única solução apresentada que não se rebenta toda como se fosse 1990, é o Keepass. É isso que sugiro, keepass, podes ter o ficheiro na dropbox se quiseres: mas usa uma, só uma, grande e única password.
“Sentir melhor” de pouco serve quando te roubam contas, dinheiro ou te apanham num ransomware.
Cumprimentos.
Se quiser dar a sua opinião, esteja à vontade mas faça o favor de não falar por milhares de pessoas que trabalham na área de segurança.
Acho que já somos muitos a usar a mesma técnica, acho que já não é assim tão seguro 🙂
Tentei fazer isso mas era difícil e pouco prático de usar (pelo menos para mim).
Voltei a usar o KeePass, que para além de passwords permite guardar muita mais informação sobre cada entrada.
basta apanharem a primeita password, fazerem uma analise e um script gerar varias passwords mesmo com esse tipo de comportamento elas ao de estar lá.
Problema é que muita gente pensa que as pessoas estão a escrever passwords a tentar descobrir a password de alguem, quando na realidade é uma maquina que gera e testa N passwords.
No youtube existe um canal chamado de computerphyle que tem lá alguem a demonstrar isso.
Um gestor de passwords com two-factor é segurança basica de momento.
concordo… acho que a ultima coisa que fazia era ‘oferecer’ passwords minhas a um gestor qualquer sabe-se la de onde, de passwords… ao menos que tenham só os sites onde as meto, e sempre que possível, diferentes umas das outras, para se uma for roubada, nao acederem aos outros sítios… essa é a norma básica de segurança.
Por acaso utilizo o BitDefender Antivirus e já tem um gestor de passwords, experimentei e fiquei fâ. Será que até este está com problemas? 🙁
Keepass para mim é o melhor gestor de passwords, faz o que é possivel fazer.
Ja agora deixar o gestor de passwords sempre aberto ainda que locked nao é boa ideia
Eu uso o KeePass , abro uso o que quero e fecho logo.
No Keepass, podes definir o tempo que a aplicação fica aberta e por quanto tempo o texto copiado fica em memória
No meu caso, a aplicação fecha automaticamente ao fim de 60 segundos e o texto copiado dura 10 segundos no clipboard
Tudo isto está nas opções de segurança da aplicação
Grande parte das questões dessa falha penso que ja foram ultrapassadas / minimizadas:
https://threatpost.com/1password-dashlane-keepass-and-lastpass/142037/
Basta terem o serviço meo para terem tudo acessível para qualquer pessoa! Não é preciso nenhum blogue a meo faz isso por nós 🙂 Mudei para a Vodafone estou a pagar mais que o dobro que estava a pagar pela Meo mas a segurança dos dados é sagrado 🙂 O mesmo acontece com o Android e IOS 🙂 o maior ladrão pode estar na nossa casa sem ninguem ver ou melhor abrir a porta sem apreceber-mos ou então termos no nosso bolso!
Para mim, e sendo minha opinião pessoal, o STEGANOS PASSWORD MANAGER é de longe o mais moderno, seguro e mais avançado neste campo.
Expliquem me então a solução? Colocar a chave mestra encriptada em memória? E onde fica guardado a chave que desencripta a chave mestra? No final vai tudo parar à memória. Só com soluções baseadas em processadores criptograficos é que se contorna isto tudo
Alguém que tem um mínimo de conhecimentos na aérea, e não posta barbaridades!
Resumindo sem um chip dedicado a chave de encriptação é sempre possivel sacar dos dados da memória.
Deixem de usar essas coisas de armazenar os ovos todos no mesmo cesto qualquer dia o lobo aparece 😉
Que aconselhas ao enduser normal que precisa gerir a suas passwords então?
bloco de notas com uma cifra de cesar+random int ou uma menmonica pessoal qualquer
Espetácular. Quando nos 90 falavam no futuro da tecnologia, estavam mesmo a imaginar que as pessoas do futuro andassem com blocos de notas e jogos mentais só para verem o e-mail.
Que raio, então mas agora usar a internet também é desporto, é preciso ir aos treinos e manter as mnemónimas vivas? Para quem servem esta ferramentas afinal?
Quais os gestores de passwords estão comprometidos?
Todos!
Todos menos o Keepass. O costume.
Comecei a usar o BITWARDEN : não será assim tão fiável ?
Uso o post-it no monitor do equipamento…
Assim nunca me esqueço… >.<!
Upgrade: usa caneta de tinta invisível para a pass e tinta normal para uma password fake no mesmo postit, depois usas um led UV! xD
uso o keepass portable numa pen usb
Bem bom, para dar malware spread, basta metes a PEN onde não deves que é o suficiente. E não me digas que tambem metes a master key na mesma pen usb, ou a password em plain text LOL.
Eu uso o “passwords” no iPhone, será que tambem é inseguro?
Lastpass
Boa segurança. Browser windows. App android. Tem versão gratuita para Windows.
Até o dia, todos os sistemas possuem bugs e não são 100% seguros, basta um dia haver uma falha por mínima que seja, de alguma alteração, modificação que origine algum bug, exploit que possa ser explorado, é o suficiente.
Isto de dizer e pensar que tem boa segurança e tem 2FA, é surreal. Não é por ter isso que vai prevenir tudo.
Por aqui é 1password no iPhone e Mac (https://1password.com/security/ ). Nada a reclamar.
Se fores te fiar por tudo o que dizem nas páginas “security” de vários serviços online. Então facilmente cais, em esquemas de puro marketing. Isto não significa que não seja seguro ou o que esteja ai escrito, seja mentira.
Mas acreditar que é 100% seguro, é um erro enorme. As empresas de segurança tendem a exagerar nos “contextos e pretextos” de forma a que o utilizador se convença demasiado, e no final de contas não é assim tão bom quanto parecia.
Cuidado, já disse e volto a dizer. Isto é o jogo do rato e do gato. Por enquanto o rato esta bem escondido na toca, mas se o gato apanha o rato fora do seu território é o suficiente para causar estragos por mínimos que sejam.
Não é ao acaso que a maioria dos “trojans, malware” estão utilizando tecnicas cada vez mais avançadas, e os Antivirus a tentar utilizar tecnicas mais recentes para os detectar, tal como Machine Learning (MERO EXEMPLO de outro jogo do rato e do gato, ganha quem for mais rápido).
Boas. Mas e entao se a chave mestra desses gestores fosse o reconhecimento facial utilizado no windows e ios? Talvez fosse melhorar a seguranca um pouco mais, o problema e existir uma chave secundaria em caso o reconhecimento falhe e essa pode ser tambem descoberta.
Quando ativei o reconhecimento facial no android para desbloquear o ecrã, apareceu uma mensagem a alertar que era menos seguro que os outros métodos…
Com um keylogger nem um processador criptografico te safa!
Isto é tudo muito lindo.
Não há nada como um envelope em 2 cofres (50% da pass em cada lado).
Em caso de emergência, alguém sabe o que fazer…
Gestor de passwords, é muito lindo… lembram-se da lastpass hackeada ?
https://www.quora.com/How-secure-is-lastpass-from-being-hacked
Gestor de password não precisa de ser online. Aliás, nunca na vida usaria tal coisa.
+1
a melhor gestora de passwords é a cabecinha… ou um papel em casa…
depois em cada sítio que entram, por uma diferente para o caso de ser roubada num sítio, não terem a capacidade de vos entrar em tudo quanto é site.
podem agradecer depois.
A Ana consegue lembrar de centenas de passwords individuais para cada site? Isso não é um requisito um pouco elevado?
Como é que sugere que eu memorize as perto de 1000 entradas que tenho no meu gestor KeePass?
passwords, usernames, emails, pins, puks, número de contas, endereço IPs, etc, etc
Mas quem é que no seu perfeito juízo usa um gestor de passwords? Que falta de noção de segurança. Isto é como por gelo no frigorífico e esperar que ele se mantenha em pedra…enfim!
Tendo em conta que no KeePass tenho perto de 1000 entradas, deveria de ser muito fácil decorar todas as diferentes passwords, usernames, emails, pins, puks, número de contas, etc, etc!
Ou então seria melhor repetir passwords.
Pois…
E só conheces esse tipo de ferramenta para guardares as tuas passwords ? Não há mais nada onde guardares passwords sem ser em aplicações de terceiros ? Faz lá um esforço em prol da tua segurança.
Censo,
Sim conheço outras ferramentas para guardar passwords.
Era o que fazia antes de usar o KeePass. Mas eram menos práticas e menos seguras!
E, pelo menos eu, não considero o KeePass verdadeiramente “de terceiros”, pois é opensource e tenho o source code (tal como muitos outros que olham e controlam o código contra algo malicioso).
E antes que perguntes, sim sou programador, e já analisei o código.
Quanto ao esforço em prol da minha segurança, foi precisamente o que fiz ao adoptar o KeePass em vez de outros métodos que usava anteriormente!
eWallet conhecem?
Pois, e principalmente porque é facílimo qualquer pessoa ler a memória de qualquer computador no mundo!
E que tal um bocadinho de seriedade?
De muito longe, o maior problema que uma pessoa normal tem com as passwords é reutilizar o mesmo login, a combinação username+password, numa série de sites por essa Internet fora e alguém, seja lá como for, conseguir descobrir essa combinação e passar a ter acesso a esses sites como se fosse essa outra pessoa.
Não é por acaso que basicamente TODOS os peritos em segurança recomendam a utilização de gestores de passwords, porque os gestores de passowords protegem os utilizadores do problema real que é a reutilização de passowords e não contra o problema imaginário que é alguém conseguir ler a memória do computador.
Concordo, também estranhei a forma como o artigo parece afirmar que é fácil aceder à memória de outros programas num computador.
É possível, não tenho dúvidas, mas improvável, muito mais provável de ter algum problema de segurança é o não usar passswords complexas, seguras e diferentes para cada “serviço”.
O que acham do Roboform, mas em modo offline?
Eu uso o KeePass, que já foi referido várias vezes.
Não será que estão a fazer uma “tempestade num copo de água”??!!
Parecemos pardais!! Deram um tiro para o ar, e toca a fugir, em todas as direcções!!!
Quantas vezes foram descobertos bugs que comprometem a segurança, seja da Microsoft, seja da Google, ou de aplicações!!? E o que é que se seguiu? …um patch de segurança para resolver!! Aqui é igual. O importante é terem descoberto!! Agora vão todos tentar resolver, até porque os “clientes” querem sentir-se seguros, e eles não vão ficar de braços cruzados…por isso não tarda nada, a Lastpass o Keepass e outros vão arranjar solução!!
Uma boa leitura sobre o porquê de se utilizar password manager
https://www.washingtonpost.com/gdpr-consent/?destination=%2ftechnology%2f2019%2f02%2f19%2fpassword-managers-have-security-flaw-you-should-still-use-one%2f%3futm_term%3d.39f52746eaff&utm_term=.4237dc69aa1b
O KeePass pelo menos parece não sofrer do problema descrito neste artigo:
“While KeePass is running, sensitive data is stored encryptedly in the process memory. This means that even if you would dump the KeePass process memory to disk, you could not find any sensitive data. For performance reasons, the process memory protection only applies to sensitive data; sensitive data here includes for instance the master key and entry password”
Simples: escrever uma password num papel, embrulhar bem, meter um num cofre, outro enterrar, outro meter dentro do autoclismo..
Já está!