.
Escrevi muito sobre gerenciamento de senhas nos últimos anos. Na verdade, quando as pessoas me perguntam que tipo de software de segurança deveriam usar, minha resposta sempre começa com: “Encontre um bom gerenciador de senhas e use-o”.
Quando tenho essas discussões na vida real, ouço consistentemente as mesmas perguntas e objeções, a maioria das quais são perfeitamente sensatas e precisam ser respondidas. Este comentário, postado em resposta à minha postagem recente sobre segurança online, é um ótimo exemplo:
Falando em gerenciadores de senhas, eu ficaria um pouco desconfiado, já que o LastPass foi hackeado e os arquivos de senhas criptografadas dos usuários vazaram. Os chapéus negros têm tentado quebrar suas senhas mestras e aparentemente tiveram sucesso em alguns casos, até mesmo roubando o conteúdo das carteiras criptográficas das pessoas.
A questão natural é: os gerenciadores de senhas ainda são uma ótima ideia quando esse tipo de coisa pode acontecer? Os usuários afetados tiveram que gastar inúmeras horas alterando dezenas ou centenas de senhas em todos os lugares. Isso seria muito trabalhoso e uma dor de cabeça.
Além de produtos de terceiros como o LastPass, podemos contar com os gerenciadores de senhas integrados no Firefox, Chrome e Edge? Suponho que haja grandes empresas por trás deles fazendo o possível para evitar uma situação extremamente comprometedora e embaraçosa, mas tenho certeza de que o LastPass fez o mesmo.
Esse é um resumo admiravelmente conciso dos problemas com gerenciadores de senhas que acho que preocupam a maioria das pessoas. Também levanta um monte de questões sobre o que o LastPass fez exatamente. Então, vamos começar com um rápido resumo do que era a bagunça de segurança do LastPass – e por que ela era terrível para seus clientes.
Entre os serviços online que ajudam você a organizar suas senhas, o LastPass foi um dos primeiros líderes e ainda é um player significativo. A marca LastPass era valiosa o suficiente para que a LogMeIn adquirisse a empresa há oito anos por US$ 110 milhões. Alguns anos depois, o LastPass foi desmembrado em sua própria empresa, mas ainda era controlado pelas empresas de private equity proprietárias da LogMeIn. No relato da venda, a Garon observou que essas empresas “se especializam em tentar maximizar o valor de um ativo para venda posterior”.
Esse não é o tipo de descrição tranquilizadora que você deseja ver para uma empresa de segurança. O resultado, como escrevi perto do final de 2022, era previsível:
O LastPass foi engolido pela LogMeIn em 2015. E então, em 2021, a LogMeIn anunciou que estava planejando desmembrar o LastPass como uma empresa separada. Observadores astutos da indústria de software sabem que este manual raramente funciona bem. Na melhor das hipóteses, seus funcionários ficam distraídos com toda a música e dança das fusões e aquisições. Na pior das hipóteses… bem, aqui estamos.
O LastPass foi vítima de vários hacks bem-sucedidos desde pelo menos 2011. Mas as duas invasões em 2022 foram especialmente ruins. A notificação oficial de uma postagem no blog LastPass de dezembro de 2022 foi suavemente intitulada “Aviso de incidente de segurança recente”, mas o conteúdo dessa postagem era um cenário de pesadelo para clientes que pagam por um serviço online que promete manter seus segredos protegidos contra invasores externos.
Recentemente, notificamos você de que uma pessoa não autorizada obteve acesso a um serviço de armazenamento terceirizado baseado em nuvem, que o LastPass usa para armazenar backups arquivados de nossos dados de produção.
Este ataque ocorreu após uma invasão bem-sucedida separada das redes LastPass em agosto de 2022. Nesse incidente, os invasores obtiveram informações que usaram para atingir um funcionário do LastPass e conseguiram obter credenciais e chaves usadas para acessar e descriptografar arquivos no armazenamento online. serviço, AWS S3 da Amazon.
Fica pior.
Até o momento, determinamos que, uma vez obtidas a chave de acesso ao armazenamento em nuvem e as chaves de descriptografia do contêiner de armazenamento duplo, o agente da ameaça copiou informações do backup que continham informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP a partir dos quais os clientes acessavam o serviço LastPass.
O agente da ameaça também conseguiu copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuários de sites. e senhas, notas seguras e dados preenchidos em formulários.
Se você estiver interessado nos detalhes técnicos de quais dados foram roubados, leia este resumo completo de Lawrence Abrams da Bleeping Computer.
Além disso: Os melhores serviços VPN: testados e revisados por especialistas
A má notícia é que muitos dados de clientes foram roubados. A boa notícia é que os cofres de senhas foram criptografados usando tecnologia AES de 256 bits com uma chave de criptografia exclusiva derivada da senha do usuário, que nunca foi compartilhada com o LastPass, o que significa que seriam necessários muito tempo e recursos de computação para quebrá-los.
(Nota lateral: a palavra que você nunca quer ler depois de um parágrafo como esse é no entanto. Infelizmente…)
No entanto, o LastPass não aplicou a mesma criptografia forte a outros dados de clientes, incluindo URLs de sites e “certos casos de uso envolvendo endereços de e-mail”. Essas informações revelaram-se extremamente valiosas como forma de os invasores decidirem quais cofres de senhas seriam mais valiosos. De acordo com o especialista em segurança Brian Krebs, essa segmentação pode explicar uma onda de ataques contra carteiras de criptomoedas que começou logo após o hack do LastPass:
[T] a melhor prática para muitos entusiastas da segurança cibernética tem sido armazenar suas frases-semente em algum tipo de contêiner criptografado – como um gerenciador de senhas – ou então dentro de um dispositivo de criptografia de hardware off-line para fins especiais, como uma carteira Trezor ou Ledger.
“A frase-semente é literalmente o dinheiro”, disse Nick Bax, diretor de análise da Unciphered, uma empresa de recuperação de carteiras de criptomoedas. “Se você tiver minha frase-semente, poderá copiá-la e colá-la em sua carteira e, então, poderá ver todas as minhas contas. E poderá transferir meus fundos.”
[…]
[Security researchers have] identificou uma assinatura única que liga o roubo de mais de US$ 35 milhões em criptografia de mais de 150 vítimas confirmadas, com cerca de dois a cinco roubos de alto valor acontecendo a cada mês desde dezembro de 2022.… [T]O único ponto em comum óbvio entre as vítimas que concordaram em ser entrevistadas foi que elas armazenaram as frases-semente para suas carteiras de criptomoedas no LastPass.
Tudo indica que o LastPass vem executando uma operação incrivelmente desleixada há anos. O funcionário visado era um dos quatro engenheiros de DevOps com acesso às chaves de descriptografia da AWS. Você poderia pensar que qualquer pessoa que acessasse os dados mais confidenciais dos clientes estaria usando um PC dedicado rodando em uma rede segura, mas isso não aconteceu aqui.
Além disso: Adeus, LastPass: estas são as melhores alternativas do LastPass
O engenheiro estava acessando esses armazenamentos de dados a partir de um computador pessoal que também executava um servidor de mídia de terceiros, que havia sido comprometido, quase certamente pelos mesmos invasores. Eles, por sua vez, usaram essa exploração para capturar a senha mestra do funcionário para suas contas LastPass e roubar notas criptografadas contendo chaves de acesso e descriptografia para dados de clientes LastPass.
O LastPass já havia aumentado o comprimento exigido das senhas mestras de seus clientes, de 8 para 12 caracteres, e também aumentou o número de iterações usadas para gerar chaves privadas a partir dessas senhas novas e mais fortes. Infelizmente, a empresa não exigia que os usuários alterassem as senhas existentes, o que significava que qualquer cliente antigo que usasse uma senha mais antiga estava usando uma criptografia fraca que era dramaticamente mais vulnerável a ataques de força bruta.
Como parte do acompanhamento do incidente, o LastPass anunciou uma extensa lista de mudanças em suas políticas de segurança, mas o estrago já estava feito.
Também: Como remover completamente seus dados dos servidores do LastPass (eventualmente)
Estes não foram os primeiros ataques ao LastPass. Em 2017, pesquisadores externos revelaram uma falha embaraçosamente desleixada na forma como a empresa gerenciava as credenciais 2FA. Essa falha veio logo após várias explorações anteriores de código remoto no ano anterior, que levaram Tavis Ormandy, do Project Zero do Google, a perguntar, incrédulo: “As pessoas estão realmente usando essa coisa de último passe?”
Nenhum outro gerenciador de senhas conhecido (e há muitos) possui um registro como este.
Sim, em teoria.
Mas um gerenciador de senhas dedicado ainda é a única maneira prática para seres humanos com memórias humanas comuns criarem e recuperarem senhas fortes, únicas e aleatórias para cada serviço seguro que utilizam.
Para usar uma analogia direta: se você tivesse US$ 10 mil em dinheiro, preferiria guardar cada nota de cem dólares em um cofrinho barato com um cadeado de brinquedo, ou preferiria guardar esse maço de dinheiro no banco, onde ele está em um cofre? cofre enorme com fechaduras de última geração e seguranças armados?
O que o LastPass fez foi como deixar as chaves do cofre no balcão e esquecer de trancar a porta da frente.
Além disso: Melhor VPN para streaming: desbloqueie seus serviços de streaming favoritos agora
Enfim… Se você vai colocar suas senhas em um cofre criptografado, o desafio é proteger esse cofre.
E aqui está o mais importante: a criptografia forte realmente funciona! Todo serviço moderno de gerenciamento de senhas, incluindo o LastPass, usa um modelo Zero Knowledge, o que significa que o serviço não tem acesso à sua chave de criptografia privada ou à senha mestra que você usa para acessar sua conta.
Os invasores que invadiram a rede LastPass roubaram backups de um número (presumivelmente grande) de cofres de senhas e foram, portanto, capazes de executar ataques sustentados de força bruta contra os dados criptografados. Apesar dessa vantagem, os invasores aparentemente só conseguiram invadir alguns por mês, e apenas visando aqueles que tinham certeza de que continham chaves criptográficas do cofre. Provavelmente foi necessária uma quantidade impressionante de recursos para fazer isso.
Além disso: 6 regras simples de segurança cibernética para seguir
Foi necessária uma combinação de um invasor muito determinado e uma operação muito desleixada no LastPass para permitir que esses arquivos criptografados do cofre de senhas fossem roubados. Não conheço nenhum outro serviço de senha que tenha perdido esse tipo de dados de clientes. Se tivesse acontecido, teria sido notícia de primeira página.
Se você está realmente preocupado com a possibilidade de alguém roubar seus dados de senha criptografados, você pode escolher um gerenciador de senhas como KeepPass, que permite armazenar o cofre criptografado em um local separado, onde você terá mais confiança em sua segurança. Mas um serviço de gerenciamento de senhas bem executado (não o LastPass) deve ser capaz de realizar essa tarefa como parte de suas operações diárias.
Quando você acessa 1Senha de um dispositivo que você não usou anteriormente, por exemplo, você deve inserir sua senha mestra e também insira sua chave secreta, que consiste em 34 letras e números que você – e somente você – conhece. A chave é gerada quando você configura sua conta pela primeira vez e recomendamos imprimi-la ou salvá-la em um local seguro para poder acessá-la ao configurar um novo dispositivo. Nunca é compartilhado com a nuvem 1Password. Um invasor que roubasse sua senha mestra não conseguiria acessar seu cofre criptografado porque não seria capaz de fornecer essa chave.
Além disso, a maioria dos gerenciadores de senhas permite configurar a autenticação de dois fatores, o que exige que você use um dispositivo confiável para aprovar qualquer novo login antes de permitir o acesso à sua conta e aos dados do cofre. Aqui também, um invasor que tenha sua senha mestra não poderá usá-la sem obter sua permissão – e alertá-lo no processo.
Desde que me lembro, todos os fabricantes de navegadores oferecem um conjunto de recursos de preenchimento de senha. Anos atrás, esses recursos eram rudimentares e fazia sentido escolher uma opção de terceiros.
Nos últimos anos, porém, todos os principais desenvolvedores responsáveis por navegadores modernos (Apple, Google, Microsoft e Mozilla) fizeram um tremendo progresso com suas soluções de autenticação, tornando-as iguais ao conjunto principal de recursos de um bom gerenciador de senhas de terceiros. . E como são todos gratuitos e usam armazenamento em nuvem bem gerenciado, são opções perfeitamente aceitáveis.
Também: Os melhores navegadores para privacidade
No início deste ano, escrevi um longo artigo intitulado “Como escolher (e usar) um gerenciador de senhas”. Role para baixo até “Os gerenciadores de senhas integrados são bons o suficiente?” indo para análises resumidas do que você recebe da Apple, Google e Microsoft.
Do ponto de vista da usabilidade, provavelmente será melhor usar um serviço de terceiros (confira a lista de gerenciadores de senhas recomendados da Strong The One aqui), desde que não seja executado por você-sabe-quem.
.
