Mercado abrirá em 7 h 43 min
  • BOVESPA

    114.177,55
    -92,52 (-0,08%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    55.164,01
    +292,65 (+0,53%)
     
  • PETROLEO CRU

    81,38
    +0,37 (+0,46%)
     
  • OURO

    1.923,70
    -6,30 (-0,33%)
     
  • BTC-USD

    22.794,01
    -353,97 (-1,53%)
     
  • CMC Crypto 200

    516,26
    -10,92 (-2,07%)
     
  • S&P500

    4.060,43
    +44,21 (+1,10%)
     
  • DOW JONES

    33.949,41
    +205,57 (+0,61%)
     
  • FTSE

    7.761,11
    +16,24 (+0,21%)
     
  • HANG SENG

    22.555,21
    -11,57 (-0,05%)
     
  • NIKKEI

    27.355,05
    -7,70 (-0,03%)
     
  • NASDAQ

    12.029,75
    -77,00 (-0,64%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5113
    -0,0084 (-0,15%)
     

Especialistas acusam LastPass de minimizar vazamento de senhas de usuários

Analistas em segurança digital estão acusando o gerenciador de senhas LastPass de minimizar a gravidade dos recentes vazamentos de informações, que vêm acontecendo desde agosto. Na visão de diferentes especialistas, a empresa responsável pelo app oculta informações ou não conta a história completa dos comprometimentos, de forma a ocultar responsabilidades e evitar uma fuga de usuários para outras soluções semelhantes.

Wladimir Palant, especialista em cibersegurança e desenvolvedor original do AdBlock Pro, por exemplo, critica a falta de associação, da parte do LastPass, entre o vazamento de parte de seu código fonte, em agosto, com o recente comprometimento de senhas criptografadas dos usuários. Na visão dele, os dois casos não somente têm relação como demonstram que a companhia foi incapaz de conter a intrusão, levando a uma brecha ainda maior em seus sistemas.

Já o pesquisador Jeremi Gosney, que faz parte do time de segurança digital do Yahoo, apontou que o LastPass não deu a importância devida ao comprometimento das senhas. Elas estão criptografadas, sim, e não podem ser obtidas sem a chave-mestra que somente o usuário — e nem mesmo a companhia — possui. Segundo ele, entretanto, faltou explicar que essa credencial precisa ser protegida, seguir melhores práticas e não ser compartilhada em outros serviços.

A sensação de falsa segurança, aponta, é dada pelo pronunciamento, que não explica sobre um possível uso de golpes de força-bruta contra chaves-mestra simples ou a possibilidade de uso de combinações comuns. Além disso, exposições em outros serviços também podem levar a uma abertura do “cofre” do LastPass, caso a credencial seja compartilhada; Gosney indica, ainda, que apenas partes dos arquivos dos utilizadores estão criptografados, facilitando trabalhos de engenharia social e cruzamento de volumes vazados.

Assim, aponta, se cria um ambiente em que o usuário pode ser culpado de incidentes de segurança, enquanto o LastPass deveria saber que uma série de credenciais de seus usuários serão, sim, desbloqueadas. Faltou explicação, indicou Gosney, e também medidas prévias que evitassem comprometimentos, repetições e o uso de práticas inseguras em relação às credenciais.

Jeffrey Goldberg, arquiteto líder do rival 1Password, engrossou o coro, apontando erro na alegação da concorrente de que levaria “um milhão de anos” para que um ataque de força-bruta descobrisse uma chave-mestra. Segundo o especialista, isso vale para sequências de 12 caracteres geradas aleatoriamente, um critério ainda pouco seguido por seres humanos, que preferem senhas reconhecíveis e fáceis de serem lembradas e digitadas.

Palant também vai além, indicando detalhes técnicos relacionados aos protocolos de criptografia, principalmente em relação a contas mais antigas, que poderiam facilitar ou, pelo menos, encurtar o processo de força-bruta para descoberta das senhas. Ele aponta ainda que a exposição de endereços IP dos utilizadores também pode ter implicações graves caso o LastPass colete tais informações a cada acesso, permitindo a composição de um perfil de movimentação, facilitando a descoberta de informações e, quem sabe, minimizando o número de tentativas.

Vazamento expôs URLs e outros detalhes do LastPass

O comprometimento revelado na última semana pelo LastPass não envolveu apenas senhas, mas também e-mails, números de telefone e URLs dos sites cujas senhas estão armazenadas no gerenciador. Tais dados, segundo apontou a empresa, não estavam protegidos e foram obtidos pelos indivíduos responsáveis pela invasão em texto simples — eles deveriam ser criptografados também, conforme apontam os especialistas.

Sendo assim, ao contrário do que foi apontado pelo aplicativo, a recomendação é que os usuários tomem medidas, principalmente, para garantir mais segurança à chave-mestra. O ideal é substituir a senha por uma combinação realmente aleatória, com 12 ou mais caracteres, e que não tenha sido usada em nenhum outro serviço online.

Aos indivíduos mais visados, como personalidades, empresários ou celebridades, os cuidados devem ir além, envolvendo também a troca de todas as senhas armazenadas no LastPass e a revisão de configurações de segurança relacionadas às interações do algoritmo de criptografia. Além disso, vale a pena ficar de olho em alertas emitidos pelo próprio aplicativo, que disse ter implementado ferramentas adicionais de detecção de identidade para flagrar intrusões às contas dos usuários.

Fonte: Canaltech

Trending no Canaltech: