Especialistas acusam LastPass de minimizar vazamento de senhas de usuários

Especialistas acusam LastPass de minimizar vazamento de senhas de usuários Confira!

Especialistas acusam LastPass de minimizar vazamento de senhas de usuários

Brechas de segurança que vêm acontecendo desde agosto no LastPass, resultando no comprometimento de senhas criptografas, seriam mais graves

Especialistas acusam LastPass de minimizar vazamento de senhas de usuários
Imagem: Reprodução | Divulgação



Analistas em segurança digital estão acusando o gerenciador de senhas LastPass de minimizar a gravidade dos recentes vazamentos de informações, que vêm acontecendo desde agosto. Na visão de diferentes especialistas, a empresa responsável pelo app oculta informações ou não conta a história completa dos comprometimentos, de forma a ocultar responsabilidades e evitar uma fuga de usuários para outras soluções semelhantes.

Wladimir Palant, especialista em cibersegurança e desenvolvedor original do AdBlock Pro, por exemplo, critica a falta de associação, da parte do LastPass, entre o vazamento de parte de seu código fonte, em agosto, com o recente comprometimento de senhas criptografadas dos usuários. Na visão dele, os dois casos não somente têm relação como demonstram que a companhia foi incapaz de conter a intrusão, levando a uma brecha ainda maior em seus sistemas.

Já o pesquisador Jeremi Gosney, que faz parte do time de segurança digital do Yahoo, apontou que o LastPass não deu a importância devida ao comprometimento das senhas. Elas estão criptografadas, sim, e não podem ser obtidas sem a chave-mestra que somente o usuário — e nem mesmo a companhia — possui. Segundo ele, entretanto, faltou explicar que essa credencial precisa ser protegida, seguir melhores práticas e não ser compartilhada em outros serviços.

A sensação de falsa segurança, aponta, é dada pelo pronunciamento, que não explica sobre um possível uso de golpes de força-bruta contra chaves-mestra simples ou a possibilidade de uso de combinações comuns. Além disso, exposições em outros serviços também podem levar a uma abertura do “cofre” do LastPass, caso a credencial seja compartilhada; Gosney indica, ainda, que apenas partes dos arquivos dos utilizadores estão criptografados, facilitando trabalhos de engenharia social e cruzamento de volumes vazados.

Assim, aponta, se cria um ambiente em que o usuário pode ser culpado de incidentes de segurança, enquanto o LastPass deveria saber que uma série de credenciais de seus usuários serão, sim, desbloqueadas. Faltou explicação, indicou Gosney, e também medidas prévias que evitassem comprometimentos, repetições e o uso de práticas inseguras em relação às credenciais.

Jeffrey Goldberg, arquiteto líder do rival 1Password, engrossou o coro, apontando erro na alegação da concorrente de que levaria “um milhão de anos” para que um ataque de força-bruta descobrisse uma chave-mestra. Segundo o especialista, isso vale para sequências de 12 caracteres geradas aleatoriamente, um critério ainda pouco seguido por seres humanos, que preferem senhas reconhecíveis e fáceis de serem lembradas e digitadas.

Palant também vai além, indicando detalhes técnicos relacionados aos protocolos de criptografia, principalmente em relação a contas mais antigas, que poderiam facilitar ou, pelo menos, encurtar o processo de força-bruta para descoberta das senhas. Ele aponta ainda que a exposição de endereços IP dos utilizadores também pode ter implicações graves caso o LastPass colete tais informações a cada acesso, permitindo a composição de um perfil de movimentação, facilitando a descoberta de informações e, quem sabe, minimizando o número de tentativas.

O comprometimento revelado na última semana pelo LastPass não envolveu apenas senhas, mas também e-mails, números de telefone e URLs dos sites cujas senhas estão armazenadas no gerenciador. Tais dados, segundo apontou a empresa, não estavam protegidos e foram obtidos pelos indivíduos responsáveis pela invasão em texto simples — eles deveriam ser criptografados também, conforme apontam os especialistas.

Sendo assim, ao contrário do que foi apontado pelo aplicativo, a recomendação é que os usuários tomem medidas, principalmente, para garantir mais segurança à chave-mestra. O ideal é substituir a senha por uma combinação realmente aleatória, com 12 ou mais caracteres, e que não tenha sido usada em nenhum outro serviço online.

Aos indivíduos mais visados, como personalidades, empresários ou celebridades, os cuidados devem ir além, envolvendo também a troca de todas as senhas armazenadas no LastPass e a revisão de configurações de segurança relacionadas às interações do algoritmo de criptografia. Além disso, vale a pena ficar de olho em alertas emitidos pelo próprio aplicativo, que disse ter implementado ferramentas adicionais de detecção de identidade para flagrar intrusões às contas dos usuários.

Fonte: The Verge

Trending no Canaltech:

+Os melhores conteúdos no seu e-mail gratuitamente. Escolha a sua Newsletter favorita do Terra. Clique aqui!

Todos os Direitos Reservados
Developed By Old SchooL