Seu gerenciador de senhas pode não ser tão seguro quanto você pensa - aqui está o porquê

July 29, 2023
DentroNotícias Segurança Da Internet

click fraud protection

O software de gerenciamento de senhas LastPass relatou duas violações de segurança em três meses.
Especialistas dizem que você precisa escolher seu software de gerenciamento de senhas com sabedoria.
Você também deve manter seu software atualizado para afastar os hackers.

Mãos em um teclado de laptop sobreposto com gráfico de login de nome de usuário e senha. — Sakorn Sukkasemsakorn / Getty Images

Os fabricantes de gerenciadores de senhas anunciam seu software como uma maneira segura de armazenar as chaves para sua vida digital, mas incidentes recentes lançam dúvidas sobre essas afirmações.

CEO do LastPass Karim Toubba revelou que o gerenciador de senhas foi violado pela segunda vez. A empresa disse que as informações pessoais foram divulgadas, mas as senhas dos clientes permaneceram seguras. O incidente é um lembrete, dizem alguns especialistas, de que você deve tomar precauções extras com sua senha.

"Talvez a maior vulnerabilidade para os usuários seja que uma senha mestra fraca pode comprometer todas as outras senhas: por isso é importante que os usuários selecionem uma senha mestra muito forte e confirmem essa senha mestra à memória",

Brian Robert Callahan, diretor do programa de pós-graduação em tecnologia da informação e serviços web da Instituto Politécnico Rensselaer, disse à Lifewire em uma entrevista por e-mail. "Dessa forma, as tentativas de força bruta na senha mestra tornam-se inviáveis ou impossíveis."

LastPass hackeado?

O LastPass pode não fazer jus ao seu nome após o recente incidente de segurança. A empresa disse que detectou atividade incomum em um serviço de armazenamento em nuvem de terceiros compartilhado pelo LastPass e sua afiliada, GoTo. LastPass alertou sobre um incidente semelhante em setembro.

Mãos digitando em um teclado de laptop com uma tela de login exibida na tela. — fizkes / Getty Images

"Determinamos que uma parte não autorizada, usando informações obtidas no incidente de agosto de 2022, foi capazes de obter acesso a certos elementos das informações de nossos clientes", escreveu Toubba no site da empresa. "As senhas de nossos clientes permanecem criptografadas com segurança devido à arquitetura Zero Knowledge do LastPass."

Callahan disse que, apesar do incidente do LastPass, os gerenciadores de senhas geralmente são seguros. O software é uma opção muito melhor do que reutilizar senhas fracas ou escrever senhas no papel.

"As ofertas de todos os principais players incluirão recursos de segurança, como criptografar suas senhas armazenadas para que se um invasor conseguir roubar seu banco de dados de senhas, ele ainda não saberá quais são suas senhas", Callahan adicionado. "Embora nenhum software seja perfeito, os usuários devem ser encorajados a usar gerenciadores de senhas e se sentir seguros ao usá-los."

Callahan disse que os gerenciadores de senhas foram hackeados no passado. Um problema é a "depuração de segredos" inadequada, como quando um gerenciador de senhas exibe uma de suas senhas armazenadas e, em seguida, a senha permanece na memória do sistema e fica vulnerável a hackers.

Procure um gerenciador de senhas com arquitetura de segurança de conhecimento zero e confiança zero.

"Se o gerenciador de senhas não limpou corretamente a memória do sistema depois que o usuário terminou de olhar a senha, um invasor teria uma janela de oportunidade para também visualizar a senha", Callahan disse.

O maior problema de segurança com gerenciadores de senhas baseados em nuvem é como os fornecedores protegem seu ambiente e onde as chaves de criptografia são armazenadas para o cofre de senhas do usuário, Paul Kincaid, especialista em segurança cibernética da SecureAuth, empresa que lida com gerenciamento de acesso e autenticação, apontou em um e-mail.

"Alguns fornecedores dizem que têm 'conhecimento zero' da chave de descriptografia e, portanto, se o fornecedor ambiente está comprometido, os invasores precisariam atacar com força bruta a senha mestra de um usuário", disse Kincaid. "Além disso, a chave mestra/senha é a única coisa que mantém os invasores fora de um gerenciador de senhas, portanto, uma senha forte e autenticação multifator são fundamentais.

Jogando pelo seguro

Nem todos os gerenciadores de senhas são criados iguais, Craig Lurey, co-fundador da empresa de segurança cibernética Guardião da Segurança, disse à Lifewire por e-mail. Ele disse que usar um navegador da Web para armazenar senhas ou um gerenciador de senhas com segurança fraca pode colocar seus dados em risco.

"Ao explorar as opções, procure um gerenciador de senhas com arquitetura de segurança de conhecimento zero e confiança zero", acrescentou. “Conhecimento zero significa que ninguém além do usuário pode acessar seus arquivos criptografados, o que é crítico em caso de violação”.

Manter o software gerenciador de senhas atualizado também é crucial, Mateus T. Carr, co-fundador da Atumcell, uma empresa de segurança cibernética, disse por e-mail. "Como qualquer software, os gerenciadores de senhas podem ter vulnerabilidades que são descobertas com o tempo", acrescentou. "Mantenha o gerenciador de senhas atualizado para garantir que seja a versão mais segura."

Se você fizer tudo corretamente, ainda poderá ter problemas ao usar um gerenciador de senhas. A alta segurança fornecida pelos gerenciadores de senha significa que você terá problemas se esquecer sua senha, apontou Tyler Farrar, especialista em segurança cibernética da Exabeam, em um e-mail.

"Se um gerenciador de senhas está mantendo os padrões do setor, ele não deve ter a capacidade de visualizar ou recuperar sua senha mestra", acrescentou.

Correção 08/12/2022: Corrigido o título da fonte no parágrafo três.