O LastPass tem estado muito nas notícias recentemente. Se você já é um usuário do LastPass ou está pensando em se inscrever, provavelmente está se perguntando se é seguro usá-lo após os hacks recentes.
A resposta curta é não, mas isso se deve apenas em parte aos hacks de 2022.
Como um gerenciador de senhas que contém todos os seus logins – talvez incluindo nomes de usuário e senhas para serviços bancários online e outros serviços críticos – deve ser totalmente confiável.
Embora desconfiássemos de qualquer serviço on-line ou baseado em nuvem que afirme ser 100% seguro e à prova de hackers, realmente não é uma boa aparência se você lida com milhões de senhas de usuários e sofre violações repetidas.
No passado, demos ao LastPass o benefício da dúvida em diversas ocasiões. Ele foi hackeado em 2015, quando os endereços de e-mail e lembretes de senha dos usuários foram acessados.
Então, em 2017, foi encontrada uma vulnerabilidade em sua extensão de navegador que poderia ter sido usada para roubar suas senhas. Isso foi corrigido, mas algo semelhante aconteceu em 2019, onde a última senha usada era vulnerável.
Então, em agosto de 2022, o LastPass postou em seu blog que uma máquina usada para desenvolvimento havia sido comprometida, mas que não havia evidências de que dados ou senhas de clientes tivessem sido acessados.
O LastPass disse que nenhuma ação foi necessária porque a senha mestra e os cofres criptografados (contendo os logins e senhas) permaneceram seguros.
Infelizmente, isso acabou sendo excessivamente otimista: apenas alguns meses depois, os hackers usaram as informações obtidas em agosto para invadir o LastPass novamente, desta vez acessando endereços de e-mail, números de telefone e endereços IP dos usuários.
Eles fizeram isso enganando um funcionário do LastPass e conseguindo obter as informações necessárias para acessar algum armazenamento em nuvem que o LastPass usa para manter os dados do cliente e os cofres de senha.
As senhas, nomes de usuário e quaisquer notas nesses cofres são, obviamente, criptografadas, mas nem todos os dados são: o LastPass confirmou que eles também contêm URLs não criptografados de sites.
Os hackers precisariam adivinhar sua senha mestra para descriptografar as informações nesses cofres, mas como eles podem usar software para acelerar esse processo, é apenas uma questão de tempo até que consigam decifrar algumas, especialmente se você usou uma senha mais fraca. com menos de 12 caracteres – algo que é possível se você não o alterou desde antes de 2018.
Sou um usuário do LastPass. O que devo fazer?
Se você usar uma senha forte, tudo bem – diz o LastPass – porque o software geralmente disponível levaria “milhões de anos” para decifrá-lo.
“Devido aos métodos de hash e criptografia que usamos para proteger nossos clientes, seria extremamente difícil tentar adivinhar senhas mestras por força bruta para os clientes que seguem nossas práticas recomendadas de senha. Testamos rotineiramente as mais recentes tecnologias de quebra de senha em relação aos nossos algoritmos para acompanhar e melhorar nossos controles criptográficos.
O agente da ameaça também pode atingir os clientes com ataques de phishing, preenchimento de credenciais ou outros ataques de força bruta contra contas online associadas ao seu cofre do LastPass. Para se proteger contra engenharia social ou ataques de phishing, é importante saber que o LastPass nunca ligará, enviará um e-mail ou uma mensagem de texto pedindo que você clique em um link para verificar suas informações pessoais. Exceto ao entrar em seu cofre a partir de um cliente LastPass, o LastPass nunca solicitará sua senha mestra.”
O problema é que se os hackers já tiverem uma cópia do seu cofre, criptografada com o seu velho senha e, em seguida, alterar sua senha mestra do LastPass agora não fará nenhuma diferença porque só mudará a criptografia da versão que o LastPass armazena, não a cópia que os bandidos possuem.
Isso significa que sua única opção é alterar as senhas das contas dentro do cofre para que, se os hackers conseguirem descriptografar seu cofre, as senhas obtidas não funcionem mais.
É muito trabalhoso e leva muito tempo para alterar centenas (até dezenas) de senhas, mas obviamente vale a pena fazer isso para qualquer banco ou outras contas para fazer com suas finanças, a fim de mitigar o risco. Isso inclui contas para sites de compras online que armazenam seus detalhes de pagamento, como Amazon, e não se esqueça do PayPal e outros.
Ainda devo usar o LastPass?
Não. É simplesmente impossível recomendar que continue a usá-lo. O histórico de violações e vulnerabilidades já era ruim o suficiente, mas o fato de que os bandidos agora conseguiram se apossar de cofres de senhas criptografadas é a gota que quebrou as costas do camelo.
Há também o fato de que o código do LastPass é ‘código fechado’. Ao contrário do software de código aberto, isso significa que ninguém fora do LastPass pode inspecionar o código que ele usa para verificar quaisquer vulnerabilidades. Existem gerenciadores de senhas de código aberto, incluindo Bitwarden e KeePass.
Já dissemos que você deve alterar todas as senhas de contas financeiras importantes, mas você deve encontrar outro gerenciador de senhas e migrar suas senhas para ele.
A maioria dos gerenciadores de senhas funciona como o LastPass e armazena seu cofre de senhas na nuvem. Eles fazem isso para facilitar a sincronização desses logins entre todos os seus dispositivos, mas alguns oferecem uma opção ‘auto-hospedada’ onde você pode armazenar seu cofre localmente em seu dispositivo. Isso é melhor do ponto de vista da segurança, mas tende a significar que não é tão fácil sincronizar novos logins e alterações de senha em todos os dispositivos que você usa.
Mas segurança e conveniência raramente andam de mãos dadas, então realmente depende de quanto você deseja manter suas senhas seguras se você confia ou não em um gerenciador de senhas baseado em nuvem.
Histórias relacionadas
