8 dicas para manter a segurança de suas senhasCibersegurança: adivinhe qual foi a senha mais utilizada no Brasil em 2022
Wladimir Palant, especialista em cibersegurança e desenvolvedor original do AdBlock Pro, por exemplo, critica a falta de associação, da parte do LastPass, entre o vazamento de parte de seu código fonte, em agosto, com o recente comprometimento de senhas criptografadas dos usuários. Na visão dele, os dois casos não somente têm relação como demonstram que a companhia foi incapaz de conter a intrusão, levando a uma brecha ainda maior em seus sistemas. Já o pesquisador Jeremi Gosney, que faz parte do time de segurança digital do Yahoo, apontou que o LastPass não deu a importância devida ao comprometimento das senhas. Elas estão criptografadas, sim, e não podem ser obtidas sem a chave-mestra que somente o usuário — e nem mesmo a companhia — possui. Segundo ele, entretanto, faltou explicar que essa credencial precisa ser protegida, seguir melhores práticas e não ser compartilhada em outros serviços. A sensação de falsa segurança, aponta, é dada pelo pronunciamento, que não explica sobre um possível uso de golpes de força-bruta contra chaves-mestra simples ou a possibilidade de uso de combinações comuns. Além disso, exposições em outros serviços também podem levar a uma abertura do “cofre” do LastPass, caso a credencial seja compartilhada; Gosney indica, ainda, que apenas partes dos arquivos dos utilizadores estão criptografados, facilitando trabalhos de engenharia social e cruzamento de volumes vazados. Assim, aponta, se cria um ambiente em que o usuário pode ser culpado de incidentes de segurança, enquanto o LastPass deveria saber que uma série de credenciais de seus usuários serão, sim, desbloqueadas. Faltou explicação, indicou Gosney, e também medidas prévias que evitassem comprometimentos, repetições e o uso de práticas inseguras em relação às credenciais. Jeffrey Goldberg, arquiteto líder do rival 1Password, engrossou o coro, apontando erro na alegação da concorrente de que levaria “um milhão de anos” para que um ataque de força-bruta descobrisse uma chave-mestra. Segundo o especialista, isso vale para sequências de 12 caracteres geradas aleatoriamente, um critério ainda pouco seguido por seres humanos, que preferem senhas reconhecíveis e fáceis de serem lembradas e digitadas. Palant também vai além, indicando detalhes técnicos relacionados aos protocolos de criptografia, principalmente em relação a contas mais antigas, que poderiam facilitar ou, pelo menos, encurtar o processo de força-bruta para descoberta das senhas. Ele aponta ainda que a exposição de endereços IP dos utilizadores também pode ter implicações graves caso o LastPass colete tais informações a cada acesso, permitindo a composição de um perfil de movimentação, facilitando a descoberta de informações e, quem sabe, minimizando o número de tentativas.
Vazamento expôs URLs e outros detalhes do LastPass
O comprometimento revelado na última semana pelo LastPass não envolveu apenas senhas, mas também e-mails, números de telefone e URLs dos sites cujas senhas estão armazenadas no gerenciador. Tais dados, segundo apontou a empresa, não estavam protegidos e foram obtidos pelos indivíduos responsáveis pela invasão em texto simples — eles deveriam ser criptografados também, conforme apontam os especialistas. Sendo assim, ao contrário do que foi apontado pelo aplicativo, a recomendação é que os usuários tomem medidas, principalmente, para garantir mais segurança à chave-mestra. O ideal é substituir a senha por uma combinação realmente aleatória, com 12 ou mais caracteres, e que não tenha sido usada em nenhum outro serviço online. Aos indivíduos mais visados, como personalidades, empresários ou celebridades, os cuidados devem ir além, envolvendo também a troca de todas as senhas armazenadas no LastPass e a revisão de configurações de segurança relacionadas às interações do algoritmo de criptografia. Além disso, vale a pena ficar de olho em alertas emitidos pelo próprio aplicativo, que disse ter implementado ferramentas adicionais de detecção de identidade para flagrar intrusões às contas dos usuários. Fonte: The Verge