Proponha uma correção, faça uma sugestão
LastPass: Afinal o roubo de dados neste serviço foi muito pior do que se poderia esperar
Agosto trouxe más notícias para o LastPass e os seus utilizadores. Este serviço de gestão de passwords foi comprometido e parte do seu código roubado, num ataque que parecia ter deixado os utilizadores intocados.
Com o tempo, e com a avaliação desta situação em maior detalhe, mais informações foram surgindo. A cada nova atualização o cenário piorava e mais dados tinham sido acedidos. Agora, na mais recente, fica claro que o cenário é muito pior do que se poderia esperar.
Apesar de ser um serviço de que tem várias camadas de segurança implementadas, o LastPass tem estado demasiado exposto a problemas. São já várias as situações relatadas e que mostram que hackers e outros atacantes conseguiram roubar dados desta plataforma.
A mais recente, e uma das que mais impacto teve aconteceu em agosto, onde aparentemente tinha sido apenas roubado código e outros dados. Com essa informação foi possível aceder a outros serviços cloud que usam e onde tinham dados relevantes armazenados.
O atacante também conseguiu copiar um backup dos dados do cofre dos clientes do armazenamento cifrado, que é armazenado num formato binário proprietário que contém dados não cifrados, como URLs de sites, bem como campos confidenciais totalmente cifrados, como nomes de utilizadores de sites e palavras-passe, notas seguras e dados preenchidos em formulários.
Na mais recente atualização desta situação, foi agora explicado que afinal houve mesmo o roubo de dados dos utilizadores. Estes estavam no serviço cloud que foi acedido, embora estejam cifradas partes desta informação que foi extraída.
A boa notícia é que a chave mestra de acesso a esses dados está sempre na posse do utilizador e não nas mãos do LastPass ou sequer armazenada nos seus serviços. Todo o processo de acesso aos dados é realizado localmente nos dispositivos do utilizador.
No entanto, isso não significa que os dados estejam realmente inacessíveis aos atacantes. Estes podem tentar usar mecanismos de ataques de força bruta para determinar as chaves de cifra e assim aceder aos dados. Quanto maior a chave metra definida, mais tempo demorará aos atacantes para a descobrir.
Todas estes dados não deixam o LastPass bem visto aos olhos dos utilizadores. As informações têm mudado, o que revela a abertura da empresa face ao problema, mas é também a prova de que não existe ainda nenhuma certeza da dimensão deste roubo de dados.
Este artigo tem mais de um ano
Loading ...
Melhor aplicação de gestão de passwords:
– Bloco de notas em papel dentro da gaveta.
Já me roubaram a pass do mail e conseguiram recuperar o acesso ao meu banco desse modo. O melhor é a nossa cabeça
Queixa-te ao banco. Se alguem que não tu consegui fazer isso, então o sistema do banco não é totalmente seguro. Isso é responsabilidade do banco e não tua. Por isso exist os sistemas de autenticação multifator
Realmente conseguirem entrar no banco por recuperação de senha para o e-mail é uma clara falta de segurança inaceitável.
Por outro lado os bancos não exigem validação de um segundo factor se por exemplo a pessoa entra do mesmo endereço de Internet por exemplo… enfim, até o GMail oferece mais segurança que os bancos, ao menos aceitam chaves de segurança e pode meter-se a conta em um modo que exige a mesma. Por outro lado se tiveram acesso ao papel com as senhas, também teriam acesso à chave de segurança, e embora as mais modernas “FIDO2” permitam definir um PIN para proteger o segredo o GMail e outros não utilizam a versão que pede o PIN… logo nem o GMail estaria seguro se a pessoa tiver acesso físico à chave de segurança.
Ai a história é outra, quem tem de melhorar o sistema de segurança é o banco, eu já não acedo ao sistema bancário online com password’s há muito, apenas códigos gerados para o meu telefone no momento.
para coisas importantes tenho um e-mail, para outras da treta tenho outro para o efeito, logo não misturo.
Ou..
Bitwarden e/ou KeePass. Mais fácil e o não há papeis.
KeePass offline. Ou um Hardware proprio para o efeito.
Ou reutilizem o velhinho Nokia 3310 e façam daquilo um password manager.
+1 😉
Sim de facto, de longe, continua a ser a melhor opção, e nunca usar o mail oficial para acesso a sites generalizados, para isso usar um mail que não se corra o risto de haver hack.
Para a proxima em vez de pores
Facebook Login mete ao inverso nigol koobecaf
Assim se te roubarem a probabilidade é menor. Ez
Melhor opção uma VM (Virtual Machine) sem conexão a internet, com password e firewall instalado a bloquear todas as ligações com Keepass, chances de ser roubado 0,01%
Sem duvida a melhor opção é:
https://keepass.info/
senha única manda um abraço. Claro, foi ironia, mas neste caso parece ser mais seguro.
Cá está mais uma razão para não querer utilizar gestores de autenticação de web site que enviam ou guardam coisas online: “dados não cifrados, como URLs de sites”… humm porque motivo haveria a LastPass ter algo tão sensível como os endereços dos web sites utilizados pelo utilizador para se autenticar não cifrados de forma segura?
A mim só me ocorre: espionagem.
Teoricamente deveria estar tudo bem cifrado nos servidores da Lastpass e só a pessoa é que teria acesso localmente, e mesmo que os endereços dos web sites precisassem de estar decifrados para que o programa funcione correctamente, tal só deveria ocorrer localmente no(s) dispositivo(s) do utilizador.
Continuo achar que caderno, caneta e um sitio seguro são as melhores soluções.
A questão é o sítio seguro.
Se tiver um cofre adequado certificado bem instalado, e utilizá-lo sem falhar, aí é uma coisa, mas se vai meter numa gaveta ou algum outro local de fácil acesso ou fácil de arrombar lá se vai a segurança. Vale lembrar que em certas famílias/ ambientes familiares/ casas partilhadas, qualquer coisa, mesmo trancada em algum lado corre sério risco de desaparecer.
E parto do princípio que consegue estar sempre lúcido e coerente o tempo todo, para não falhar na utilização das precauções de segurança, qualquer falha pode ficar sem os dados e os mesmos serem abusados por terceiros.
Várias pessoas que conheci ao longo do tempo tiveram as suas contas de redes sociais furtadas por pessoas que elas conheciam pessoalmente, por vezes entravam através dos dispositivos dessas pessoas que depois furtavam as contas, ou davam os dados a essas pessoas para fazer alguma coisa, ou essas pessoas viam a pessoa a colocar os dados de autenticação, ou tinham acesso aos aparelhos/ dispositivos e conseguiam dar acesso a si mesmos.
Enfim, existem demasiadas precauções que se tem de ter, e muitas vezes o bom senso simplesmente não existe, certas pessoas confiam em quem não devem, ou outros arranjam forma de comprometer os dispositivos sem que as pessoas se apercebam.
A melhor sugestão que posso dar é Keepass (funciona completamente offline) + programa de enctiptação para encriptar a base de dados do keepass, e guardar essa base de dados em vários locais.
Assim tem 2 senhas(a do KeePass e do programa de encriptação)?
Pode ser mais segura, mas nada prática.
Para quem não sabe, mas opções da MasterKey, pode definir-se o número de ciclos associados à chave, e assim podemos tornar mais rápido ou mais lento o processo de validação da password.
Se colocarmos mais lento, ficamos mais seguros contra um ataque de brute force
Como é que vais fazer um ataque brute force a uma maquina offline? Só se for fisicamente lool…
Especialmente se for virtual
Agora falando mais sério, os gestores de passwords devem ser seguros, isso sim. Mas também devem ser ágeis. O difícil mesmo é arranjar um bom ponto de equilíbrio e a segurança
É muito simples.
O KeePass funciona com base num ficheiro, que podes guardar em muitos locais, desde o disco, pen, web drive, etc.
Se de alguma forma este ficheiro for parar às mãos erradas, poderá tentar abri-lo…
É um bom conselho.
A base de dados do gestor offline tem a sua senha, mas na dúvida cifra também a base de dados através de uma aplicação de cifra independente e depois coloca esse ficheiro que contém a base de dados nos locais que lhe apetecer (online e offline).
Desde que pelo menos um dos dois programas faça bem o seu trabalho, os dados estarão seguros.
Pessoalmente não vou tão longe, mas mesmo assim coloco os ficheiros em um formato cifrado, e depois envio para um serviço gratuito de cópia de segurança/ partilha online que também cifra os dados… mesmo que o serviço online não proteja bem os ficheiros não há problema porque o que eles recebem já está cifrado quando é enviado para o serviço deles (até porque na realidade não confio na segurança do serviço online depois de ter lido as características do serviço e daí o cuidado desde o início. Existia um serviço online em que confiava, depois de ter lido as características, mas foram comprados passados poucos anos e a nova empresa encerrou o serviço… desconfio que os serviços secretos não gostaram que existisse uma empresa a prestar um serviço seguro à séria).
Agora é uma boa altura para acreditar no Pai Natal….. Boas festas para todos.