LastPass hackeado: aqui está o que você precisa fazer

Nós amamos tanto o LastPass que o chamamos de O melhor gerenciador de senhas. Então, quando o história do hack estourou há algum tempo, estávamos todos em estado de choque. Mas isso significa que todos devem abandonar o LastPass e usar outra coisa? Suas senhas estão seguras na nuvem? Podemos confiar na empresa novamente? É isso que estamos tentando descobrir.

Não entre em pânico

Escusado será dizer que esta é a primeira coisa que precisa ser feita. Entrar em pânico, ou pior, espalhar informações falsas por qualquer meio, não é a maneira certa de responder a qualquer crise. Embora seja natural sentir medo ao ler uma notícia como essa, você precisa perceber que o pânico desnecessário simplesmente não serve para nada. Em seu postagem do blog, o LastPass deixou claro, e cito,

Em nossa investigação, não encontramos evidências de que os dados criptografados do cofre do usuário tenham sido obtidos, nem que as contas de usuário do LastPass tenham sido acessadas.

Sim, continua a dizer que

A investigação mostrou, no entanto, que os endereços de e-mail da conta do LastPass, lembretes de senha, sais de servidor por usuário e hashes de autenticação foram comprometidos.

Mas, que isso significa, você pergunta? Simplificando, significa que, embora todas as suas senhas sejam seguras, outras informações podem não ser. Para o qual, novamente, o post do blog já deu algumas dicas úteis.

Sim, os dados dos gerenciadores de senhas são armazenados na nuvem, mas as informações são criptografadas diretamente no seu computador. E mesmo que a arquitetura de computação em nuvem envolva um pequeno risco, você ainda pode ficar tranquilo sabendo que todos os dados criptografados nunca são armazenados lá. Que incluem tudo suas senhas.

Dica útil: Confira nosso Guia definitivo sobre senhas para saber tudo sobre como criar e gerenciar senhas na internet.

Prevenir é sempre melhor do que remediar

Este velho ditado nunca poderia ser mais relevante do que nestes tempos de espionagem na internet e perda de privacidade. Aqui estão algumas etapas que você deve seguir quando se trata de sua conta do LastPass, para garantir que você não perca o sono com esses incidentes.

Alterar a senha mestra

Para alterar a senha mestra do LastPass, basta clicar em Preferências, onde você encontrará a seção Configurações da conta à esquerda. Clicando nele, você terá a opção de Clique aqui para iniciar as configurações da conta como mostrado abaixo.

Clicar nele abrirá uma nova guia, onde tudo o que você precisa fazer é clicar no botão Alterar senha mestra botão e vá para uma alternativa mais nova (e mais forte).

É isso, o passo mais importante que você deve fazer depois que esse incidente for feito!

Autenticação de 2 fatores e outras opções de segurança

Achamos que é uma boa ideia usar autenticação de 2 fatores sempre que possível, e especialmente em locais onde os dados confidenciais são armazenados. O LastPass está absolutamente correto ao sugerir o uso deste serviço e achamos que você deve fazer isso imediatamente, após alterar sua senha mestra. Na verdade, enquanto você está nisso, considere adicionar o fator de autenticação em duas etapas a todos os serviços que você usa que contêm dados confidenciais.

No LastPass, você encontrará Opções multifatoriais em Configurações da conta (veja acima). É aqui que você encontrará opções para proteger ainda mais sua conta do LastPass. Você também verá o Opção de autenticação de grade que já escrevemos antes.

Restrição com base no país

Outra camada de segurança que o LastPass exige que seus usuários explorem é a política de restrição baseada no país. Uma vez ativado, isso permitirá que apenas dispositivos originários do país de sua residência acessem seus dados do LastPass. Se um dispositivo de qualquer outro país tentar acessá-lo, ele mostrará uma mensagem de erro. Nós temos cobriu isso com muitos detalhes e você definitivamente deveria lê-lo, se ainda não o fez.

Ainda preocupado?

Não seja. Não há mais nada a ser feito aqui. O LastPass já atualizou sua segurança e já está solicitando que os usuários sejam verificados por e-mail, se estiverem usando um novo dispositivo ou um novo IP. Para verificar isso, tentamos exatamente isso e ficamos felizes em informar que esta etapa funciona exatamente como anunciado.

Os usuários existentes também estão sendo solicitados a alterar sua senha mestra, mas mesmo que você não receba essa solicitação, recomendamos que você faça isso de qualquer maneira. Por último, gostaríamos de citar Jeremi Gosney (um especialista em segurança de senhas da Grupo de estrita) que falou com a Ars Technica sobre o hack –

Em uma NVIDIA GTX Titan X, que atualmente é a GPU mais rápida para quebra de senha, um invasor só seria capaz de fazer menos de 10.000 suposições por segundo para um único hash de senha. Isso é propriamente lento! Mesmo senhas fracas são bastante seguras com esse nível de proteção (a menos que você esteja usando um senha.) E isso nem leva em conta o número de iterações do lado do cliente, que é configurável pelo usuário. O padrão é 5.000 iterações, portanto, no mínimo, estamos analisando 105.000 iterações. Na verdade, eu tenho o meu definido para 65.000 iterações, então isso é um total de 165.000 iterações protegendo minha senha do Diceware. Então não, eu definitivamente não estou suando com essa violação. Eu nem me sinto compelido a mudar minha senha mestra.

De fato, alguns membros de nossa própria equipe usam a ferramenta e fizemos exatamente as mesmas coisas que afirmamos acima. E agora queremos espalhar o conhecimento para o maior número de pessoas possível.

Quer tentar alternativas?

Ok, se você sente que perdeu a fé no LastPass por causa de tudo isso, é claro que sempre existem alternativas. Se você está disposto a investir um pouco de dinheiro (e um pouco dessa fé perdida), sempre há 1Senha. É a mesma arquitetura e medidas de segurança em jogo, mas a Agilebits, a empresa por trás do 1Password, tem um histórico melhor do que o LastPass. Com isso, queremos dizer que nunca foi hackeado. Não foi relatado, para ser mais preciso. Ainda.

Transfira suas senhas no iOS: É fácil transferir seus dados do LastPass para o 1Password para iOS, depois de ler nosso artigo útil sobre isso.

Se você não está disposto a gastar nada, existe uma alternativa gratuita. É chamado KeepPass e também é de código aberto. E também escrevemos um guia para transferir suas senhas do LastPass para o Keepass.

Mesmo que não seja tão conveniente quanto o 1Password, se você estiver disposto a brincar, alguns plugins podem ser adicionados para corresponder à funcionalidade de seu par pago. É preciso um pouco de paciência, no entanto, esteja preparado.

Nossos 2 centavos

É muito fácil culpar uma empresa e dizer que ela não teve cuidado com seus dados. Mas isso é tão bom quanto culpar os bancos quando há um assalto. As pessoas não pararam de colocar seu dinheiro lá e você também não deve parar de confiar em gerenciadores de senhas, só porque um foi hackeado.

Não estamos nem dizendo que a segurança foi frouxa por parte do LastPass, mas eles definitivamente precisam puxar as meias. Não foi a primeira vez que um ameaça foi detectada em seu sistema, mas nas duas vezes nada importante foi roubado/perdido. Eles agiram de forma rápida e notificaram prontamente os usuários e já lidaram com o problema de segurança que levou a isso. Com um pouco mais de precaução, você pode garantir um estado de espírito muito mais feliz. Se você pode passar todo esse tempo pensando em seu saldo bancário, temos certeza de que também pode poupar alguns pensamentos sobre as senhas que os mantêm seguros?