Cofres de usuários do LastPass vazaram em incidente de agosto.
O LastPass avisou na quinta-feira (22) que na invasão sofrida em agosto, divulgada no início de dezembro, cofres criptografados que armazenam as senhas dos usuários foram levados.
Além da demora em divulgar essa informação, a forma com que fez gerou críticas. Especialistas em segurança digital e até rivais dizem que o LastPass está minimizando a gravidade da situação e que o último comunicado, dias antes do Natal, preparou o terreno para jogar a culpa de possíveis senhas comprometidas nos usuários.
O The Verge fez um bom apanhado dessas reações.
A essa altura, não é exagero dizer que o uso do LastPass é um risco. Se for o seu caso, talvez seja uma boa tirar um dia para migrar para outra solução (1Password, Bitwarden e KeePassXC são alternativas recomendáveis) e trocar as senhas pelo menos dos serviços mais sensíveis. Via LastPass.
Sou dos que usam o Microsoft Authenticador para gerenciar minhas senhas. Devo me preocupar? Acredito que a fucking Microsoft deve ser um pouco mais cuidadosa no quesito segurança.
Não sabia que o Microsoft Authenticator também funciona como gerenciador de senhas — até agora, achava que servia só para gerar senhas temporárias para autenticação em dois fatores (2FA).
Não sei dizer se é bom ou ruim, porém, mas acho que sua lógica faz sentido — no mínimo, deve ser um negócio melhor que o LastPass.
Não me entra na cabeça o motivo imbecil de tantos serviços online não armazenarem senhas numa hash, como SHA256/512 (ou até mesmo bcrypt) com um ‘salt’ descente. Isso resolveria, se não todos, os problemas de vazamentos. Tenho para mim que qualquer serviço que não usa este método, faz isso para espionar você, sem mais.
Não quero pagar papel de advogado da Lastpass aqui ou algo do tipo, mas é óbvio que as senhas que vazaram não são as senhas “limpas”. As senhas vazadas foram as senhas encriptadas.
A questão é que é necessário saber a senha-mestra para decriptar todas essas senhas, e a senha-mestra em si também não é vazada de forma limpa, o hash dela que é vazado. Então mesmo com o vazamento, não é tão simples você pegar as senhas que foram vazadas e sair por aí usando, a não ser que as senhas-mestras fossem fraquíssimas (e essa é também algumas críticas que foram colocadas no Lastpass, porque eles permitiam senhas-mestras não tão seguras)
Eu não esqueço da máxima da área de segurança da informação: “Salvar na nuvem é salvar no computador de um estranho”. Então fico e recomendo apenas o KeePassXC. Parece-me uma má ideia alguém migrar suas senhas de uma terceiro armazenador de senha (que vazou) para outro terceiro armazenador de senha (até que vaze também?!).
Enfim, estudo segurança e privacidade e gostaria apenas de provocar reflexões.
Quando descobri que o LastPass usava uma versão ultrapassada do PHP, além de ñ ter criptografia em alguns recursos, migrei totalmente para o Bitwarden. Isso já tem uns 3 anos.
De novo o LastPass mostrando o quanto ainda ñ aprenderam com os erros.
Eu migrei pra o Bitwarden essa semana depois de meses ensaiando a mudança quando saíram as notícias de vazamento, tô achando bem parecido com o Lastpass de funcionalidade e tudo mais. Só sinto falta dos Autocomplete no Mac, mas fora isso 10/10.
Qualquer chaveiro que armazene em servidor próprio é risco.
Armazene o cofre até na sua nuvem pessoal, mas nunca no servidor do próprio chaveiro.
Ou seja, além do lastpass, evite o chaveiro da apple e dos navegadores.
Use sempre o serviço de terceiros.
E nao esqueça de configurar bem o que os eu chaveiro faz com as senhas na area de transferência.
Já uso a um bom tempo o KeePassXC no meu note (com Debian) e no smartphone (android) uso o KeePassDX. Quando adiciono uma nova senha ou modifico alguma (sempre no note) eu subo o container para a nuvem (ou conecto o cel no note) e atualizo o do celular.
Para quem troca e faz novas senhas toda hora, pode ser mais trabalhoso. Pra mim funciona muito bem. Nesses casos, talvez seja mais interessante o Bitwarden.
Algo contra o Dashlane?
Não conheço o suficiente para recomendá-lo ou evitá-lo.
Tenho um colega de trabalho que usava e recomendava. O Dashlane foi um dos pioneiros em ter o recurso de vazamento de dados, além de ter a melhor interface que já vi em gerenciadores de senha.