O serviço gerenciador de senhas LastPass agora está forçando alguns de seus usuários a escolher senhas mestras mais longas. LastPass afirma que as mudanças são necessárias para garantir que todos os clientes estejam protegidos por suas mais recentes melhorias de segurança. Mas os críticos dizem que a medida é pouco mais do que um golpe de relações públicas que não fará nada para ajudar inúmeros pioneiros cujos cofres de senhas foram expostos em uma violação de 2022 no LastPass.
O LastPass, um gerenciador de senhas, anunciou que forçará todos os usuários a atualizar suas senhas mestras se elas tiverem menos de 12 caracteres. A empresa instituiu essa mudança em 2018, mas alguns clientes anteriores nunca foram obrigados a aumentar o comprimento de suas senhas mestras.
A atualização é significativa porque, em novembro de 2022, o LastPass divulgou uma violação na qual hackers roubaram cofres de senhas contendo dados criptografados e em texto simples para mais de 25 milhões de usuários.
Desde então, um fluxo constante de roubos de criptomoedas de seis dígitos direcionados a pessoas preocupadas com a segurança em toda a indústria de tecnologia levou alguns especialistas em segurança a concluir que os criminosos provavelmente conseguiram abrir alguns dos cofres roubados do LastPass.
O LastPass disse que a atualização da senha mestra não foi projetada para lidar com cofres já roubados que estão offline. A empresa afirma que a atualização visa proteger melhor os cofres on-line dos clientes e incentivá-los a usar senhas mestras mais fortes.
No entanto, alguns especialistas em segurança criticam o LastPass por não ter atualizado automaticamente as senhas mestras de todos os usuários para o novo comprimento mínimo de 12 caracteres. Eles também criticam a empresa por não recomendar que os usuários alterem todas as suas senhas protegidas pela senha mestra criptografada que foi roubada na violação de 2022.
O LastPass sempre enfatizou que se você perder essa senha mestra, isso é uma pena porque eles não a armazenam e sua criptografia é tão forte que nem eles podem ajudá-lo a recuperá-la.
Mas os especialistas dizem que todas as apostas serão canceladas quando os cibercriminosos conseguirem colocar as mãos nos próprios dados criptografados do cofre – em vez de ter que interagir com o LastPass por meio de seu site. Esses chamados ataques “offline” permitem que os bandidos conduzam tentativas ilimitadas e irrestritas de quebra de senhas de “força bruta” contra dados criptografados usando computadores poderosos que podem, cada um, tentar adivinhar milhões de senhas por segundo.
No entanto, estes números diminuem radicalmente quando um determinado adversário também tem outros ativos computacionais de grande escala à sua disposição, como uma operação de mineração de bitcoin que pode coordenar a atividade de quebra de senhas em vários sistemas poderosos simultaneamente.
Ou seja, os usuários do LastPass cujos cofres nunca foram atualizados para iterações superiores e cujas senhas mestras eram fracas (menos de 12 caracteres) provavelmente têm sido o principal alvo de ataques distribuídos de quebra de senhas desde que os cofres dos usuários do LastPass foram roubados no final do ano passado.
Questionado sobre por que alguns usuários do LastPass foram deixados para trás com os mínimos de segurança mais antigos, Toubba disse que uma “pequena porcentagem” de clientes corrompeu itens em seus cofres de senhas que impediram que essas contas atualizassem adequadamente para os novos requisitos e configurações.
“Conseguimos determinar que uma pequena porcentagem de clientes tem itens corrompidos em seus cofres e quando utilizamos anteriormente scripts automatizados projetados para criptografar novamente os cofres quando a senha mestra ou a contagem de iterações são alteradas, eles não foram concluídos”, Toubba disse. “Esses erros não eram originalmente aparentes como parte desses esforços e, à medida que os descobrimos, temos trabalhado para remediar isso e concluir a nova criptografia.”
Recomendações para usuários do LastPass.
Com base no artigo, os seguintes são algumas recomendações para usuários do LastPass:
Atualize sua senha mestra para um mínimo de 12 caracteres.
Considere usar um gerenciador de senhas que force a atualização automática das senhas mestras para novos comprimentos mínimos.
Altere todas as suas senhas protegidas pela senha mestra criptografada que foi roubada na violação de 2022.
Atualizar sua senha mestra é uma das etapas mais importantes que você pode tomar para proteger sua conta do LastPass. Uma senha mestra forte dificultará que os hackers abram seu cofre de senhas, mesmo que tenham roubado seus dados.
Considerar usar um gerenciador de senhas que force a atualização automática das senhas mestras pode ajudar a garantir que você sempre esteja usando a versão mais segura possível de sua senha mestra.
Alterar todas as suas senhas protegidas pela senha mestra criptografada que foi roubada na violação de 2022 é uma medida de segurança adicional que você pode tomar para proteger suas contas online.
Fonte: Texto adaptado e traduzido – Krebsonsecurity