LastPass sofre invasão, a segunda em 2022.
O LastPass sofreu outra invasão — a segunda em 2022. De acordo com a empresa, os invasores usaram informações obtidas no ataque anterior, de agosto, para acessar uma nuvem de terceiros usada pela empresa e conseguirem informações dos clientes/usuários. As senhas armazenadas no serviço, que são criptografadas, não foram afetadas.
Desde 2015, somente em dois anos (2018 e 2020) o LastPass não foi alvo de ataques ou apresentou falhas de segurança. Para um serviço que gerencia senhas, é um histórico ruim, ainda que, segundo a empresa, em nenhum momento as senhas em si tenham sido afetadas. Fica difícil confiar.
Felizmente, existem alternativas melhores no mercado, como 1Password, Bitwarden e KeePassXC — os dois últimos, gratuitos e de código aberto. Se você é um dos 33 milhões de usuários que o LastPass alega ter, talvez seja boa ideia começar a planejar uma migração. Via LastPass (em inglês).
Fazer o advogado do diabo aqui, longe de ter uma opinião fechada e justamente buscando ouvir argumentos e gerar discussão:
Com essa busca eterna por alternativas menos centralizadas na mão das big tech, o risco ao usuário não passa a ser maior? Eu sinceramente não me sinto nem um pouco confortável em buscar essas soluções menores, bem mais vulneráveis e que podem encerrar a qualquer momento. Uso o Passwords, nativo da Apple, e nunca tive problema algum. Infelizmente me vejo refém do serviço, mas ao menos é um motivo a menos pra se preocupar.
Eu vejo como equilibrado. As soluções menores são menos visadas, enquanto soluções de bigtech também desaparecem do dia pra noite (principalmente se for do google).
Até hoje eu usava apenas o keepass, mas é inviável com muitos dispositivos e não tenho nada da apple para justificar usar a solução dela, aí o bitwarden parece interessante.
Uso o keepass em pelo menos 3 dispositivos diferentes e funciona redondinho, o problema é armazenar as senhas localmente, aí não é possível sincronizar mas é possível usar um drive na nuvem – dropbox, box, google drive e etc.
O bitward é muito bom, é uma solução bem resolvida mas o fato do arquivo ficar sob a guarda deles estraga toda diversão, por isso gosto do keepass, é um meio termo que pende a meu favor.
Sim, eu uso syncado no onedrive, mas não achei como fazer isso nos linuxes (na verdade nem procurei muito)… Se bem que aí da no mesmo, né? Todas as minhas senhas nas mãos da Microsoft 😟
Tem jeito mas é tão chato que não sei se vale a pena, ano que vem estarei de linux aí vou sentir a dificuldade.
Para esse problema da sincronização de dispositivos, sugiro o https://syncthing.net. É simples de usar. Evidentemente, serviços desse tipo dependem da existencia de um servidor de descoberta. Aí o syncthing oferece duas possibilidades: 1) usar servidores da empresa ou 2) rodar o seu proprio servidores de descoberta.
Notar que o trafego entre dispositivos não passa pelo servidor de descoberta. O trafego se da diretamente entre os dispositivos.
Então, se você rodar o proprio servidor de descoberta você consegue manter vários dispositivos sincronizados.
Complementeando: se você rodar o proprio servidor de descoberta você consegue manter vários dispositivos sincronizados sem depender de terceiros com o trafego criptografado e direto entre seus dispositivos.
Aqui um palestra muita boa do Eriberto Mota de como usar/configurar o syncthing: https://www.youtube.com/watch?v=xIZ6tS1SZBE
Eu usava o Syncthing pra sincronizar arquivos diversos (a maioria arquivos .sav de emuladores) e nunca pensei em jogar o database do keepass lá, talvez seja uma boa
Eu não sincronizo meu cofre do KeePass. Uma vez por semana, quando vou fazer o backup local do computador, aproveito para passar a versão mais atual do cofre para o celular.
Não altero o cofre de senhas com frequências (às vezes passo semanas sem mexer nele), então não é algo que precisa estar sempre atualizado em todos os dispositivos.
Uma vantagem do meu sistema/risco do Syncthing e outros sistemas de sincronia é que reduzo quase a zero a chance de sobrepor o arquivo mais recente por uma versão anterior.
No syncthing no geral a versão mais recente é a “melhor versão”, e é a que cada dispositivo se esforça para estar atualizado. Então não existe esse risco de a versão mais recente ser sobreescrita por uma mais antiga.
Ainda, é possível usar versionamento, onde a versão antiga é guardada. Uma especie de lixeira.
Importante observar uma grande diferença entre 1Password, Bitwarden e KeePassXC:
– 1Password, Bitwarden: senhas armazenadas nos servidores da empresa
– KeePassXC: senhas armazenadas em arquivo criptografado no dispositivo do usuário
Importante notar também que Edward Snowden revelou que a NSA grampeia a internet e armazena o trafego para, eventualmente, explorar esses dados posteriormente. Mesmo os dados cifrados. Afinal de contas, criptografia atual pode já conter vulnerabilidades que NSA sabe explorar ou ser quebrada no futuro, com o avanço da tecnologia. Já imaginou o que se pode obter, no futuro, explorando dados cifrados,coletados e armazenados hoje? Especialmente quando a maior parte do trafego mundial na internet circula pelos EUA.
Então, mesmo uma empresa não tendo um histórico de falhas de segurança eu não usaria um serviço onde tenho que concentrar e armazenar dado sensivel em servidor de terceiro, especialmente se para usar o serviço preciso circular pelo EUA. Prefiro manter dado sensivel dentro do meu dispositivo.
Não tô duvidando e nem defendendo a NSA, mas essa não é uma preocupação pra mim que não sou ninguém relevante pra eles. Se fosse um líder de estado ou algo assim eu realmente nem cogitaria usar um serviço do tipo.
Bem, eu penso que quanto mais dados geramos e fazemos circular pela internet maior a posibilidade de algum deles ser usado contra nós. Usados de forma individual, por exemplo, uma foto comprometedora sendo usada para coagir você em troca de dinheiro. Ou coletivamente, onde a soma de dados coletados individualmente é usada para tomada de decisão de governos ou de sistemas usando inteligencia artificial (que imagino melhor entendido como: volume de dados + poder computacional + estatistica)
Tenho pra mim que o valor dos dados de gente comum é extraido quando ele está junto de dados de outras tantas pessoas comuns.
https://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
Muito obrigado por informar as diferenças porque nada me agradava em saber que uma empresa armazena minhas senhas em seus servidores.
Paguei o 1Password porque preciso para guardar as milhares de senhas da firma e foi a melhor decisão, caro para a gente aqui mas é muito bom
Era usuário lá, migrei pro Bitwarden e hoje sou bem feliz com ele, infelizmente o LastPass tem um problema aparente para monetização ( o que o bitwarden pode sofrer no futuro) e já não tava muito legal usar ele.
O mundo ideal seria conseguir eu mesmo hospedar um gerenciador em uma cloud privada e acessar via vpn, mas ainda confio em usar o bitwarden cloud mesmo.
pq não confia?
na verdade falei que confio neles ahuahuah
só deu um exemplo que se tu for super neurótico por segurança, ai o ideal é tu controlar tudo local, só que isso gera outros problemas :p