PplWare Mobile

Usa um gestor de passwords? Então os seus dados podem não estar protegidos

                                    
                                

Este artigo tem mais de um ano


Fonte: Independent Security Evaluators

Autor: Pedro Simões


  1. Nuno says:

    Eu por acaso sou da opinião que uma medida de segurança básica é NÃO usar um gestor de passwords… bem sei que memorizar dezenas de passwords é tarefa quase impossível, mas eu uso uma fórmula muito simples: uma combinação de letras, números e caracteres especiais que alteram conforme a plataforma a que dizem respeito. Fácil de memorizar, passwords diferentes para todas as plataformas e sem usar um gestor de passwords. Que vos parece?

    • Pedro says:

      +1 Faço exactamente isso!

    • charles says:

      é também a minha estratégia!!

    • AP says:

      Parabéns. Mais uma linha num cracker de passwords e todas as tuas passwords são fáceis. Milhares de pessoas que trabalham na área de segurança dizem todas: USEM UM GESTOR DE PASSWORDS.

      Mas o Nuno é mais experto que os outros claramente. Recomendo visitar https://haveibeenpwned.com/ para ganhar um pouco de humildade e respeito pelos investigadores de segurança.

      • Nuno says:

        Não sou mais experto, nem sequer mais esperto. Dei a minha opinião, não dei um veredicto. Respeito toda a gente e todas as opiniões. Faça o mesmo, vai ver que se sente melhor.

        • AP says:

          Nesse caso sugiro que reavalies a tua técnica de gestão de passwords, pois posso-te dizer que pouco mais seguro é do que usares a mesma password em todo lado: afinal de contas, estás a usar o mesmo algortimo para todo o lado.
          Quer dizer que se eu for ao leak da Adobe, posso ver que a tua password é ATUMazeiteadobe, facilmente um crawler converte isso para [base password] + [site tag].

          Se leres o artigo, verás que a única solução apresentada que não se rebenta toda como se fosse 1990, é o Keepass. É isso que sugiro, keepass, podes ter o ficheiro na dropbox se quiseres: mas usa uma, só uma, grande e única password.

          “Sentir melhor” de pouco serve quando te roubam contas, dinheiro ou te apanham num ransomware.

          Cumprimentos.

      • blablabla says:

        Se quiser dar a sua opinião, esteja à vontade mas faça o favor de não falar por milhares de pessoas que trabalham na área de segurança.

    • ervilhoid says:

      Acho que já somos muitos a usar a mesma técnica, acho que já não é assim tão seguro 🙂

    • Hugo Nabais says:

      Tentei fazer isso mas era difícil e pouco prático de usar (pelo menos para mim).
      Voltei a usar o KeePass, que para além de passwords permite guardar muita mais informação sobre cada entrada.

    • Rudi says:

      basta apanharem a primeita password, fazerem uma analise e um script gerar varias passwords mesmo com esse tipo de comportamento elas ao de estar lá.

      Problema é que muita gente pensa que as pessoas estão a escrever passwords a tentar descobrir a password de alguem, quando na realidade é uma maquina que gera e testa N passwords.

      No youtube existe um canal chamado de computerphyle que tem lá alguem a demonstrar isso.

      Um gestor de passwords com two-factor é segurança basica de momento.

    • Ana says:

      concordo… acho que a ultima coisa que fazia era ‘oferecer’ passwords minhas a um gestor qualquer sabe-se la de onde, de passwords… ao menos que tenham só os sites onde as meto, e sempre que possível, diferentes umas das outras, para se uma for roubada, nao acederem aos outros sítios… essa é a norma básica de segurança.

    • Pedro Monteiro says:

      Por acaso utilizo o BitDefender Antivirus e já tem um gestor de passwords, experimentei e fiquei fâ. Será que até este está com problemas? 🙁

  2. Francisco m says:

    Keepass para mim é o melhor gestor de passwords, faz o que é possivel fazer.

  3. SL says:

    Grande parte das questões dessa falha penso que ja foram ultrapassadas / minimizadas:
    https://threatpost.com/1password-dashlane-keepass-and-lastpass/142037/

  4. David Morais Anselmo says:

    Basta terem o serviço meo para terem tudo acessível para qualquer pessoa! Não é preciso nenhum blogue a meo faz isso por nós 🙂 Mudei para a Vodafone estou a pagar mais que o dobro que estava a pagar pela Meo mas a segurança dos dados é sagrado 🙂 O mesmo acontece com o Android e IOS 🙂 o maior ladrão pode estar na nossa casa sem ninguem ver ou melhor abrir a porta sem apreceber-mos ou então termos no nosso bolso!

  5. cK says:

    Para mim, e sendo minha opinião pessoal, o STEGANOS PASSWORD MANAGER é de longe o mais moderno, seguro e mais avançado neste campo.

  6. Mercdei says:

    Expliquem me então a solução? Colocar a chave mestra encriptada em memória? E onde fica guardado a chave que desencripta a chave mestra? No final vai tudo parar à memória. Só com soluções baseadas em processadores criptograficos é que se contorna isto tudo

    • miguel says:

      Alguém que tem um mínimo de conhecimentos na aérea, e não posta barbaridades!
      Resumindo sem um chip dedicado a chave de encriptação é sempre possivel sacar dos dados da memória.

      Deixem de usar essas coisas de armazenar os ovos todos no mesmo cesto qualquer dia o lobo aparece 😉

      • Francisco m says:

        Que aconselhas ao enduser normal que precisa gerir a suas passwords então?

        • rui says:

          bloco de notas com uma cifra de cesar+random int ou uma menmonica pessoal qualquer

          • AP says:

            Espetácular. Quando nos 90 falavam no futuro da tecnologia, estavam mesmo a imaginar que as pessoas do futuro andassem com blocos de notas e jogos mentais só para verem o e-mail.

            Que raio, então mas agora usar a internet também é desporto, é preciso ir aos treinos e manter as mnemónimas vivas? Para quem servem esta ferramentas afinal?

  7. Carlos Costa says:

    Quais os gestores de passwords estão comprometidos?

  8. José Santos says:

    Comecei a usar o BITWARDEN : não será assim tão fiável ?

  9. Ska says:

    Uso o post-it no monitor do equipamento…
    Assim nunca me esqueço… >.<!

  10. darth says:

    uso o keepass portable numa pen usb

    • Spoky says:

      Bem bom, para dar malware spread, basta metes a PEN onde não deves que é o suficiente. E não me digas que tambem metes a master key na mesma pen usb, ou a password em plain text LOL.

  11. Pedro says:

    Eu uso o “passwords” no iPhone, será que tambem é inseguro?

  12. Henrique says:

    Lastpass
    Boa segurança. Browser windows. App android. Tem versão gratuita para Windows.

    • Spoky says:

      Até o dia, todos os sistemas possuem bugs e não são 100% seguros, basta um dia haver uma falha por mínima que seja, de alguma alteração, modificação que origine algum bug, exploit que possa ser explorado, é o suficiente.

      Isto de dizer e pensar que tem boa segurança e tem 2FA, é surreal. Não é por ter isso que vai prevenir tudo.

  13. Lights! says:

    Por aqui é 1password no iPhone e Mac (https://1password.com/security/ ). Nada a reclamar.

    • Spoky says:

      Se fores te fiar por tudo o que dizem nas páginas “security” de vários serviços online. Então facilmente cais, em esquemas de puro marketing. Isto não significa que não seja seguro ou o que esteja ai escrito, seja mentira.

      Mas acreditar que é 100% seguro, é um erro enorme. As empresas de segurança tendem a exagerar nos “contextos e pretextos” de forma a que o utilizador se convença demasiado, e no final de contas não é assim tão bom quanto parecia.

      Cuidado, já disse e volto a dizer. Isto é o jogo do rato e do gato. Por enquanto o rato esta bem escondido na toca, mas se o gato apanha o rato fora do seu território é o suficiente para causar estragos por mínimos que sejam.

      Não é ao acaso que a maioria dos “trojans, malware” estão utilizando tecnicas cada vez mais avançadas, e os Antivirus a tentar utilizar tecnicas mais recentes para os detectar, tal como Machine Learning (MERO EXEMPLO de outro jogo do rato e do gato, ganha quem for mais rápido).

  14. Daniel says:

    Boas. Mas e entao se a chave mestra desses gestores fosse o reconhecimento facial utilizado no windows e ios? Talvez fosse melhorar a seguranca um pouco mais, o problema e existir uma chave secundaria em caso o reconhecimento falhe e essa pode ser tambem descoberta.

    • MR says:

      Quando ativei o reconhecimento facial no android para desbloquear o ecrã, apareceu uma mensagem a alertar que era menos seguro que os outros métodos…

  15. Pedro says:

    Com um keylogger nem um processador criptografico te safa!

  16. says:

    Isto é tudo muito lindo.
    Não há nada como um envelope em 2 cofres (50% da pass em cada lado).

    Em caso de emergência, alguém sabe o que fazer…

    Gestor de passwords, é muito lindo… lembram-se da lastpass hackeada ?
    https://www.quora.com/How-secure-is-lastpass-from-being-hacked

  17. Ana says:

    a melhor gestora de passwords é a cabecinha… ou um papel em casa…

    depois em cada sítio que entram, por uma diferente para o caso de ser roubada num sítio, não terem a capacidade de vos entrar em tudo quanto é site.

    podem agradecer depois.

  18. censo says:

    Mas quem é que no seu perfeito juízo usa um gestor de passwords? Que falta de noção de segurança. Isto é como por gelo no frigorífico e esperar que ele se mantenha em pedra…enfim!

    • Hugo Nabais says:

      Tendo em conta que no KeePass tenho perto de 1000 entradas, deveria de ser muito fácil decorar todas as diferentes passwords, usernames, emails, pins, puks, número de contas, etc, etc!
      Ou então seria melhor repetir passwords.
      Pois…

      • censo says:

        E só conheces esse tipo de ferramenta para guardares as tuas passwords ? Não há mais nada onde guardares passwords sem ser em aplicações de terceiros ? Faz lá um esforço em prol da tua segurança.

        • Hugo Nabais says:

          Censo,
          Sim conheço outras ferramentas para guardar passwords.
          Era o que fazia antes de usar o KeePass. Mas eram menos práticas e menos seguras!

          E, pelo menos eu, não considero o KeePass verdadeiramente “de terceiros”, pois é opensource e tenho o source code (tal como muitos outros que olham e controlam o código contra algo malicioso).
          E antes que perguntes, sim sou programador, e já analisei o código.

          Quanto ao esforço em prol da minha segurança, foi precisamente o que fiz ao adoptar o KeePass em vez de outros métodos que usava anteriormente!

  19. Sousa says:

    eWallet conhecem?

  20. Carlos says:

    Pois, e principalmente porque é facílimo qualquer pessoa ler a memória de qualquer computador no mundo!

    E que tal um bocadinho de seriedade?

    De muito longe, o maior problema que uma pessoa normal tem com as passwords é reutilizar o mesmo login, a combinação username+password, numa série de sites por essa Internet fora e alguém, seja lá como for, conseguir descobrir essa combinação e passar a ter acesso a esses sites como se fosse essa outra pessoa.

    Não é por acaso que basicamente TODOS os peritos em segurança recomendam a utilização de gestores de passwords, porque os gestores de passowords protegem os utilizadores do problema real que é a reutilização de passowords e não contra o problema imaginário que é alguém conseguir ler a memória do computador.

    • Hugo Nabais says:

      Concordo, também estranhei a forma como o artigo parece afirmar que é fácil aceder à memória de outros programas num computador.
      É possível, não tenho dúvidas, mas improvável, muito mais provável de ter algum problema de segurança é o não usar passswords complexas, seguras e diferentes para cada “serviço”.

  21. N says:

    O que acham do Roboform, mas em modo offline?

  22. orlando says:

    Eu uso o KeePass, que já foi referido várias vezes.

  23. A. Martins says:

    Não será que estão a fazer uma “tempestade num copo de água”??!!
    Parecemos pardais!! Deram um tiro para o ar, e toca a fugir, em todas as direcções!!!
    Quantas vezes foram descobertos bugs que comprometem a segurança, seja da Microsoft, seja da Google, ou de aplicações!!? E o que é que se seguiu? …um patch de segurança para resolver!! Aqui é igual. O importante é terem descoberto!! Agora vão todos tentar resolver, até porque os “clientes” querem sentir-se seguros, e eles não vão ficar de braços cruzados…por isso não tarda nada, a Lastpass o Keepass e outros vão arranjar solução!!

  24. Hugo Nabais says:

    O KeePass pelo menos parece não sofrer do problema descrito neste artigo:
    “While KeePass is running, sensitive data is stored encryptedly in the process memory. This means that even if you would dump the KeePass process memory to disk, you could not find any sensitive data. For performance reasons, the process memory protection only applies to sensitive data; sensitive data here includes for instance the master key and entry password”

  25. João Cavaleiro says:

    Simples: escrever uma password num papel, embrulhar bem, meter um num cofre, outro enterrar, outro meter dentro do autoclismo..

    Já está!

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.