No início do mês, o gerenciador de senhas LastPass comunicou mais um incidente de segurança, a princípio sem vazamento de senhas. Algumas semanas depois, foi apurado que, na verdade, houve sim comprometimento de dados de usuários, inclusive dos cofres, embora seja necessário saber/descobrir a senha para acessá-los.
O comunicado do LastPass, apesar de publicizar o que aconteceu, trouxe alegações questionadas posteriormente. Por exemplo, a empresa afirmou que seriam necessários “milhões de anos” para adivinhar a senha mestra do cofre — que precisa ter mínimo 12 caracteres e está sob a arquitetura de segurança Zero Knowledge do serviço.
Segundo um texto de Jeffrey Goldberg, diretor de arquitetura de segurança do 1Password, esses “milhões de anos” não correspondem exatamente à realidade. É verdade que tentar adivinhar uma senha qualquer de 12 caracteres levaria a cerca de 272 tentativas. Só que os crackers não fazem esse processo ao acaso, mas direcionando-se para possibilidades mais próximas do que a maioria dos usuários escolhe.
Além disso, uma senha criada por um ser humano nunca alcança o mesmo nível de entropia, isto é, de uma mistura complexa de diferentes caracteres, do que uma gerada por algum software com esse propósito. E, para piorar, adivinhar senhas não é nada muito custoso entre crackers: com US$100, podem ser feitas 10 bilhões de tentativas.
No 1Password, segundo Goldberg, a senha mestra é combinada com uma chave secreta que nunca sai do dispositivo do usuário. Dessa forma, nem mesmo a empresa tem acesso à chave, numa mecânica semelhante ao que ocorre com a tokenização do Apple Pay, em que o próprio aparelho informa à máquina do cartão que validou a identidade do usuário.
Outros deméritos foram apontados em relação ao LastPass. De acordo com o The Verge, usuários mais antigos sequer foram instados a mudarem a senha após padrões mais seguros serem incorporados. O gerenciador tampouco criptografa as URLs acessadas pelo usuários, permitindo que sejam descobertos com mais facilidade os sites em que a pessoa entrou, o que é bastante perigoso.
Como apontou o pesquisador de segurança Wladimir Palant em um texto, os endereços IP dos usuários também vazaram, o que permite que crackers descubram várias informações e tracem um perfil das pessoas que usam o LastPass. Ele também chamou de “grande negligência” a recomendação da empresa de que os usuários não deveriam tomar nenhuma ação ante o que ocorreu.
Também houve críticas ao fato de o gerenciador guardar dados de usuários em texto, com apenas alguns itens sendo armazenados como arquivos criptografados. Ademais, o padrão de segurança da senha foi considerado baixo, tendo em vista que considera que 100 mil tentativas até adivinhar a senha é um número alto, algo de que os especialistas discordam. As contas antigas estão ainda mais vulneráveis, com o número de 5 mil tentativas, por terem senhas menos complexas.
Algo intrigante é que o LastPass é membro da FIDO Alliance, uma iniciativa que visa formular padrões de segurança para senhas, além de construir esforços conjuntos para projetos como um futuro sem senhas. Vários recursos do gerenciador eram certificados pela FIDO, como o login sem senha, e a empresa ainda está na lista de membros da aliança.
Com todas essas constatações, a recomendação geral é de parar de usar o LastPass e migrar para outro serviço, como o 1Password, ou mesmo o gerenciador de senhas do iCloud. Também não custa relembrar que é importante sempre usar senhas geradas por esses softwares, com muitos caracteres e mais difíceis de adivinhar.
No futuro, a expectativa é que senhas sejam algo do passado, tendo em vista os esforços das empresas de tecnologia em implementar as chamadas Chaves-senha (Passkeys), que consistem em autenticar logins sem a necessidade de senhas. O recurso já está sendo testado pelo Google.
Se você usa o LastPass, é bom correr para trocar de gerenciador e mudar todas as senhas!
Requer o iOS 16.4 ou superior
NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos comprando pelos nossos links de afiliado.
via 9to5Mac
