Usando o LastPass? Você precisa mudar com urgência, diz empresa de segurança
É uma boa ideia usar um dos melhores gerenciadores de senhas para manter seus logins seguros, mas agora uma empresa de segurança está alertando que um dos gerenciadores de senhas mais populares do mundo não é seguro de usar.
A afirmação extraordinária vem da Intego, uma empresa especializada em segurança para Mac. A Intego fez sua afirmação com base em uma série de violações de segurança que o LastPass sofreu nos últimos meses, na maneira como o LastPass respondeu a esses incidentes e na tecnologia subjacente que o LastPass usa para proteger as contas dos clientes.
Em seu relatório, a Intego descreveu a saga do LastPass, desde a divulgação inicial de uma violação em agosto de 2022 até uma investigação do gerenciador de senhas rival 1Password em dezembro. Essa linha do tempo mostra um gerenciador de senhas com práticas e tecnologias questionáveis, afirma a Intego.
Em agosto de 2022, o LastPass notificou os usuários de que seu ambiente de desenvolvimento havia sido acessado por terceiros não autorizados, mas que nenhum dado do cliente foi obtido. Então, o LastPass emitiu uma nova declaração em novembro afirmando que os hackers haviam pegado “certos elementos de … informações dos clientes”.
Finalmente, em dezembro, o LastPass admitiu que os dados acessados pelos hackers foram usados para induzir um funcionário da empresa a entregar as chaves de algumas credenciais do cliente, que foram usadas para acessar e descriptografar os dados do cliente.
Práticas questionáveis
No entanto, a Intego afirma que análises de terceiros sobre a violação sugerem um cenário mais preocupante. De acordo com o pesquisador de segurança Wladimir Palant , por exemplo, as declarações do LastPass eram “cheias de omissões, meias-verdades e mentiras descaradas”. Uma das alegações de Palant é que a implementação do LastPass de um algoritmo de fortalecimento de senha não é considerada forte o suficiente com base nos padrões do setor, tornando os cofres dos usuários muito fáceis de invadir.
O gerenciador de senhas rival 1Password acrescentou sua opinião à mistura, alegando que custaria a um hacker US$ 100 ou menos para quebrar as senhas mestras que protegem muitos cofres do LastPass, tal é a fraqueza dos métodos de hash do LastPass.
Tudo isso levou a Intego a afirmar que, “dado o que sabemos agora sobre o LastPass – tanto como a empresa opera quanto sua tecnologia – não recomendamos o uso do LastPass como um gerenciador de senhas”.
Como manter suas senhas seguras
É uma declaração notável de se fazer, dada a popularidade do LastPass. O próprio LastPass afirma ter mais de 33 milhões de usuários – se as alegações sobre sua falta de segurança estiverem corretas, é um grande número de pessoas cujas contas, senhas e dados de cartão de crédito estão potencialmente vulneráveis.
No momento, o Intego aconselha os usuários do LastPass a começar imediatamente a migrar suas contas para outro gerenciador de senhas. Depois de concluído, a empresa recomenda que os usuários atualizem todas as senhas que foram armazenadas no LastPass com novas substituições.
Isso mostra que nem mesmo os serviços mais populares estão imunes a ataques de hackers e violações de segurança. Quer você use um gerenciador de senhas ou não, você pode se proteger usando senhas fortes e exclusivas que não são usadas em vários sites. Dessa forma, uma violação não levará ao comprometimento de todas as suas outras contas.