O LastPass é seguro? Uma revisão do gerenciador de senhas

LastPass é um gerenciador de senhas geralmente seguro. No entanto, com mais de 33 milhões de usuários registrados, é um grande alvo para hackers. Você deve ter visto relatórios de segurança que remontam a 2011 sobre violações de dados do LastPass. Mesmo assim, a empresa sempre foi transparente, informando os clientes sobre os dados vazados e controlando os danos até recentemente.

Após uma violação significativa de dados em agosto de 2022, o LastPass foi atingido por outro ataque cibernético em 22 de dezembro de 2022, quando criminosos acessaram os cofres de senhas de milhões de usuários. Esses ataques foram seguidos por outra série de ataques cibernéticos que chamaram a atenção de especialistas em segurança cibernética e levantaram suspeitas dos clientes sobre a segurança do próprio sistema LastPass. Você poderia pensar que os ataques cibernéticos acontecem às vezes, mas os executivos do LastPass evitaram relatar os dados vazados e retiveram informações completas, causando ainda mais desconfiança entre os usuários.

LastPass é uma ferramenta líder de gerenciamento de senhas, oferecendo criptografia AES de 256 bits, promovendo política de conhecimento zero e fornecendo uma camada extra de proteção de dados com opções de autenticação multifator (MFA) . Ele foi projetado para armazenar, organizar e preencher automaticamente senhas em seus dispositivos e navegadores.

Depois de instalar o aplicativo LastPass, você será solicitado a criar uma senha mestra complexa e exclusiva , sua chave para seu cofre de informações privadas, que o LastPass criptografa usando criptografia AES de 256 bits. Assim que sua conta LastPass estiver configurada, insira suas credenciais de login de suas contas online no sistema. O gerenciador de senhas preenche automaticamente os campos de login durante as visitas subsequentes.

Além do mais, o LastPass gera senhas para novas contas online, armazena notas confidenciais, oferece sincronização entre plataformas e permite compartilhar senhas com segurança com outras pessoas.

Vejamos como criar senhas mestras seguras e criptografia de dados do LastPass mais detalhadamente.

Para criar uma conta LastPass, você deve criar uma senha mestra forte. Deve ter pelo menos 12 dígitos e incluir letras maiúsculas, números e símbolos. Depois de criar a senha, o LastPass usa mecanismos de criptografia para protegê-la, dificultando o acesso de hackers.

O LastPass usa PBKDF2-SHA256 para fazer o hash da sua senha mestra, retardando significativamente os ataques de força bruta . Com o hashing PBKDF2-SHA256 , um hacker executando um ataque de força bruta só pode tentar adivinhar alguns milhares em vez de bilhões de senhas de usuários por segundo.

O LastPass também oferece autenticação multifator, o que significa que você deve concluir uma etapa extra de verificação para fazer login em sua conta. Pode ser uma mensagem de texto ou autenticação biométrica, o que significa que um invasor precisa do seu telefone para hackear sua conta.

Como qualquer serviço focado em segurança, o LastPass oferece criptografia forte de ponta a ponta. O gerenciador de senhas usa criptografia TLS padrão do setor para transferir seus dados entre seu dispositivo e seus servidores, protegendo seus dados contra ataques man-in-the-middle . LastPass usa criptografia AES com uma chave de 256 bits para seus dados armazenados em seus servidores, o mesmo padrão de criptografia usado por bancos, militares e Avance Network.

A empresa também possui uma política de conhecimento zero, o que significa que todas as informações armazenadas nos servidores do LastPass são criptografadas. Ninguém mais, nem mesmo os funcionários do LastPass, pode ver isso.

Para garantir a segurança de suas senhas armazenadas, o LastPass também realiza auditorias e testes de penetração regulares, publica relatórios de incidentes e oferece um programa de recompensas por bugs.

A última série de crimes cibernéticos contra o LastPass deixou especialistas em segurança cibernética e usuários do LastPass que confiaram suas senhas à empresa de forma desagradável. Aqui está um breve cronograma das recentes violações de dados e eventos que causaram danos financeiros e de reputação ao LastPass:

• 8 de agosto de 2022. Um hacker comprometeu o computador corporativo de um desenvolvedor LastPass, conseguiu obter acesso a um ambiente de desenvolvimento e roubou código-fonte, alguma documentação técnica e informações confidenciais da empresa.
• 12 de agosto de 2022. Um agente de ameaça usou as informações obtidas durante a primeira violação e realizou um ataque ainda mais prejudicial. O CEO do LastPass, Karim Toubba, anunciou que o invasor esteve dentro do ambiente de desenvolvimento por quatro dias, mas não há evidências de que tenha obtido acesso a dados confidenciais de usuários ou cofres de senhas. No entanto, o hacker conseguiu alterar o código-fonte. O LastPass garantiu aos usuários que a situação estava sob controle e que o invasor não estava mais causando danos.
• 26 de outubro de 2022. LastPass anunciou que o mesmo hacker esteve dentro de seus sistemas por quase três meses, realizando atividades de reconhecimento, enumeração e exfiltração. Os especialistas em segurança não detectaram nenhuma intrusão após 26 de outubro de 2022.
• 30 de novembro de 2022. Pela primeira vez durante esta série de violações de dados, o LastPass anunciou que os dados do cliente foram comprometidos por um agente de ameaça usando as informações obtidas na invasão de agosto de 2022.
• 22 de dezembro de 2022. Toubba relatou que terceiros conseguiram acessar os dados do cofre do cliente e roubaram senhas criptografadas, nomes de usuário, informações de faturamento e contato e endereços IP do cliente.
• 23 de janeiro de 2023. Os invasores conseguiram obter backups criptografados e uma chave de criptografia para LastPass.
• 1º de março de 2023. Após seis meses de caos, Toubba divulgou um comunicado aceitando as críticas e frustrações dos clientes LastPass. Ele confirmou que o LastPass nunca armazenou senhas mestras e que os hackers não as obtiveram durante a violação. Toubba garantiu aos seus clientes que a equipe de segurança do LastPass ainda não detectou nenhuma informação roubada no mercado clandestino.

Em 2015, a LogMeIn comprou o LastPass por US$ 110 milhões. Alguns clientes fiéis expressaram preocupação com os novos proprietários do LastPass por causa de sua história quando hackers tentaram explorar credenciais roubadas para obter acesso não autorizado a sistemas usando ferramentas de acesso remoto. Esta empresa sediada em Boston gerencia vários produtos de segurança cibernética, incluindo acesso remoto, administração, reuniões online e software de colaboração.