Proponha uma correção, faça uma sugestão
LastPass volta a ver a segurança comprometida e dados dos utilizadores são expostos
O LastPass é um dos gestores de passwords mais conhecidos e até dos mais usados na Internet. Mesmo com algumas mudanças importantes que foram feitas, não deixou de ser uma proposta segura e que muitos usam diariamente.
O serviço volta agora a estar debaixo de fogo, com mais um problema grave de segurança. Esta é a segunda vez num espaço curto de tempo e mais uma vez os dados dos utilizadores foram acedidos pelos atacantes.
Mais uma falha de segurança do LastPass
Foi em agosto que o LastPass teve problemas sérios de segurança. Um simples ataque deu acesso aos servidores da empresa, de onde se pensa que tinha sido roubado informação importante da empresa. Na altura ficou assente que não tinha havido roubo de dados de utilizadores.
Agora, meses depois, ficou claro que muito mais aconteceu nesse ataque. O LastPass voltou a ser atacado e desta vez sabe-se que dados dos utilizadores foram expostos. A empresa revelou que detetou "atividade incomum" num serviço de armazenamento cloud de terceiros, mas que as passwords presentes permanecem criptografadas e em segurança.
Sabe-se que os atacantes usaram as informações obtidas em agosto para aceder a "certos elementos" das informações dos clientes. O LastPass iniciou imediatamente uma investigação, tendo contratado a empresa de segurança Mandiant e as autoridades foram alertadas também.
Dados dos utilizadores expostos, sem passwords
A empresa está a trabalhar de forma intensiva para entender o alcance deste incidente e identificar que informações específicas foram acedidas. Garante também que enquanto esta avaliação acontece, os produtos e serviços LastPass continuam a funcionar sem qualquer limitação.
Ainda assim, o LastPass recomenda que seus utilizadores sigam as práticas recomendadas de instalação e configuração. Isso inclui várias medidas, entre elas a configuração da autenticação de dois fatores para acesso aos serviços desta plataforma.
O caso agora revelado não deixa o LastPass com uma imagem positiva. É mais um caso de problema de segurança que acontecem num curto período de tempo. Apesar das passwords não estarem a ser reveladas e acedidas, há a possibilidade de dados sensíveis serem acedidos e explorados.
Este artigo tem mais de um ano
Fonte: LastPass
Neste artigo: dados, lastpass, passwords, Segurança, utilizadores
Loading ...
Este é que é bom, seguríssimo como se pode constatar.
Não existe nenhum sistema 100% seguro.
Mas quem é que vai depositar todas as suas passwords a terceiros… pela cloud?
Ainda por cima depois de já se ter conhecido tantas vulnerabilidades!?
As passwords não estão depositadas na cloud à disposição de quem as acede. Estão encriptadas com um sistema de encriptação avançado e só podem ser acedidas com a master password que apenas existe na posse do utilizador. A única coisa que os hackers podem fazer é usar brute force para tentar adivinhar qual a master password dos utilizadores. No caso da minha estão bem f*didos, tem 18 caracteres entre maiúsculas, minúsculas, números, caracteres especiais… demorariam uma porrada de anos a descobri-la.
Agora quem tem master passwords da treta, esses sim, estão em grande risco e deveriam alterar a master password imediatamente.
Já usei mas mudei quando deixaram de poder usar a aplicação no pc e telemóvel ao mesmo tempo.
A nível pessoal uso o bit warden, e no trabalho uso o KeePass que é offline
+1
Os password managers não têm as passwords. No lado deles apenas está o “vault”, que é, em poucas palavras, apenas um ficheiro contendo as Passwords ENCRIPTADAS nos dispositivos dos utilizadores. Mesmo que os vaults sejam acedidos indevidamente, os atacantes não conseguem aceder ao interior do vault sem a master password, que NÃO está no server nem nunca circulou na internet. Se esta password for forte não há problema. E, não, a criptografia que eles usam não é reversível (nem pelas agências de 3 letras).
Jornalismo sensacionalista:
“It also noted that customers’ passwords have not been compromised and “remain safely encrypted due to LastPass’s Zero Knowledge architecture.”
KeepassXC, gratuito, pode ser integrado no browser, existem Apps para Android (gratuita) e iOS (paga) compatíveis, backup da DB pode ser feito com qq serviço de Cloud storage.
Talvez não seja o mais user friendly para N00bs mas com apoio de alguém mais entendido na configuração habituam-se.
O uso o método mais seguro de sempre 😛 Um livro e caneta.
E escrever a password ao contrário ou de uma outra forma que só o dono sabe, é defesa certa mesmo que alguém apanhe o livro.
Ninguém apanha o livro está tão bem escondido que eu as vezes tenho problemas em lhe aceder.
Nunca gostei muito desta ideia de ter os dados de acesso acessíveis a terceiros desta forma.
Quem garante que a empresa não tem mesmo acesso aos dados? Existem maneiras de obter os dados se a empresa quiser, só a fé de que a empresa vai fazer sempre a coisa certa é que mantêm os dados seguros… porque se a NSA tiver entregue um daqueles mandatos judiciais do tribunal das secretas lá dos EUA, a empresa teve de criar backdoors para eles terem acesso a tudo… e ao mesmo tempo têm de negar até à morte existir qualquer forma de eles obterem os dados sob pena de irem presos por desrespeito às ordem do tribunal. E quem diz a NSA diz qualquer hacker que descubra como aceder a esses dados aos quais a empresa poderá ter ou não acesso… mas que alguém que furte os dados como o Edward Joseph Snowden que trabalhava dentro da organização em uma parte que tinha acesso a tudo.
Os dados de acesso não estão acessíveis a ninguém. Estão encriptados num ficheiro ao qual só pode aceder o utilizador com a master password, a qual apenas existe do lado do utilizador.
Neste caso os hackers apenas conseguiram roubar os ficheiros encriptados mas não conseguem saber quais as passwords que estão dentro dos mesmos sem as master passwords.
Podem tentar usar o sistema de Brute force para as tentar adivinhas mas para aquela contas que têm master password bem concebida e complexa, demorariam dezenas de anos a conseguir decobri-la. Agora, é claro que depois há queles totós que usam master passwords da treta, esses sim estão f*didos se não mudarem rapidamente as suas master passwords para algo de jeito.
Estes “cofres” de passwords são uma mina de ouro .
Maravilha
Olha que não, estás enganado.
Só são uma mina de ouro as contas dos morcões que usam passwords tipo “data de nascimento”, “nome do cão” e outras passwords pouco complexas e fáceis de decorar. Mas desses eu não tenho pena nenhuma, zero.
Que se lixem os gestores de passwords. São muito inseguros.
12345678 é fácil de decorar.