LastPass hackeado: aqui está o que você precisa fazer

Amamos tanto o LastPass que realmente o chamamos O melhor gerenciador de senhas. Então, quando o história do hack estourou há um tempo, estávamos todos em estado de choque. Mas isso significa que todos deveriam abandonar o LastPass e usar outra coisa? Suas senhas estão seguras na nuvem? Podemos confiar na empresa novamente? Isso é o que estamos tentando descobrir.

Não entre em pânico

Nem é preciso dizer que essa é a primeira coisa que precisa ser feita. Entrar em pânico, ou pior, espalhar informações falsas por qualquer meio, simplesmente não é a maneira certa de responder a qualquer crise. Embora seja natural ficar com medo ao ler uma notícia como esta, você tem que perceber que o pânico desnecessário simplesmente não serve a nenhum propósito. Em seus postagem do blog, LastPass deixou isso claro, e cito,

Em nossa investigação, não encontramos evidências de que dados criptografados do cofre do usuário foram obtidos, nem de que contas de usuário LastPass foram acessadas.

Sim, continua a dizer que

A investigação mostrou, no entanto, que os endereços de e-mail da conta LastPass, lembretes de senha, sais de servidor por usuário e hashes de autenticação foram comprometidos.

Mas, o que isso significa, você pergunta? Simplificando, isso significa que, embora todas as suas senhas estejam seguras, outras informações podem não estar. Para isso, novamente, a postagem do blog já forneceu algumas dicas úteis.

Sim, os dados dos gerenciadores de senhas são armazenados na nuvem, mas as informações são criptografadas diretamente no seu computador. E mesmo que a arquitetura de computação em nuvem envolva um pequeno risco, você ainda pode ficar tranquilo sabendo que todos os dados criptografados nunca são armazenados lá. Quais incluem tudo suas senhas.

Dica útil: Confira nosso Guia definitivo sobre senhas saber tudo sobre como criar e gerenciar senhas na internet.

A prevenção é sempre melhor do que a cura

Este velho ditado nunca poderia ser mais relevante do que nestes tempos de espionagem na Internet e perda de privacidade. Aqui estão algumas etapas que você deve seguir quando se trata de sua conta LastPass, para garantir que você não perca o sono com tais incidentes.

Alterar a senha mestra

Para alterar a senha mestra do LastPass, basta clicar em Preferências, onde você encontrará a seção Configurações da conta à esquerda. Clicar em que lhe dará a opção de Clique aqui para iniciar as configurações da conta como mostrado abaixo.

Clicar nesse botão abrirá uma nova guia, onde tudo o que você precisa fazer é clicar no Alterar senha mestra botão e vá para uma alternativa mais recente (e mais forte).

É isso, a etapa mais importante que você deve realizar após a conclusão deste incidente!

Autenticação de 2 fatores e outras opções de segurança

Achamos que é uma boa ideia usar autenticação de 2 fatores sempre que possível, e especialmente em locais onde dados confidenciais são armazenados. O LastPass está absolutamente correto ao sugerir o uso deste serviço e achamos que você deve fazer isso imediatamente, após alterar sua senha mestra. Na verdade, enquanto você está nisso, considere adicionar o fator de autenticação em duas etapas a todos os serviços que você usa e que contêm dados confidenciais.

No LastPass, você encontrará Opções multifatoriais em Configurações da conta (veja acima). É aqui que você encontrará opções para proteger ainda mais sua conta LastPass. Você também verá o Opção de autenticação de grade que já escrevemos antes.

Restrição com base no país

Outra camada de segurança que o LastPass exige que seus usuários explorem é a política de restrição baseada no país. Uma vez habilitado, isso permitirá que apenas dispositivos originários do país de sua residência acessem seus dados LastPass. Se um dispositivo de qualquer outro país tentar acessá-lo, será exibida uma mensagem de erro. Nós temos cobriu isso com muitos detalhes e você definitivamente deve lê-lo, se ainda não o fez.

Ainda está preocupado?

Não fique. Não há mais nada a ser feito aqui. O LastPass já atualizou sua segurança e já está solicitando que os usuários sejam verificados por e-mail, se eles estão usando um novo dispositivo ou um novo IP. Para verificar isso, tentamos exatamente isso e ficamos felizes em informar que essa etapa funciona exatamente como anunciado.

Os usuários existentes também estão sendo solicitados a alterar sua senha mestra, mas mesmo que você não receba essa solicitação, recomendamos que você faça isso de qualquer maneira. Por último, gostaríamos de citar Jeremi Gosney (um especialista em segurança de senhas da Grupo estrito) que falou com a Ars Technica sobre o hack -

Em um NVIDIA GTX Titan X, que atualmente é a GPU mais rápida para cracking de senha, um invasor seria capaz de fazer menos de 10.000 suposições por segundo para um único hash de senha. Isso é muito lento! Mesmo as senhas fracas são bastante seguras com esse nível de proteção (a menos que você esteja usando um absurdamente fraco senha.) E isso nem mesmo leva em conta o número de iterações do lado do cliente, que é configurável pelo usuário. O padrão é 5.000 iterações, portanto, no mínimo, estamos considerando 105.000 iterações. Na verdade, eu tenho o meu definido para 65.000 iterações, de modo que é um total de 165.000 iterações protegendo minha senha longa do Diceware. Portanto, não, eu definitivamente não estou suando essa violação. Eu nem mesmo me sinto obrigado a mudar minha senha mestra.

Na verdade, alguns membros de nossa própria equipe usam a ferramenta e nós fizemos exatamente as mesmas coisas que declaramos acima. E agora queremos espalhar o conhecimento para o maior número de pessoas possível.

Quer experimentar alternativas?

Ok, se você acha que perdeu a fé no LastPass por causa de tudo isso, então é claro, sempre há alternativas. Se você está disposto a investir um pouco de dinheiro (e parte da fé perdida), então sempre há 1 senha. É a mesma arquitetura e medidas de segurança em jogo, mas a Agilebits, a empresa por trás do 1Password, tem um histórico melhor do que o LastPass. Com isso, queremos dizer que nunca foi hackeado. Não foi relatado, para ser mais preciso. Ainda.

Transfira suas senhas no iOS: É fácil transferir seus dados do LastPass para 1Password para iOS, depois de ler nosso artigo útil sobre ele.

Se você não deseja gastar nada, existe uma alternativa gratuita. É chamado KeepPass e é open source também. E nós também escrevemos um guia para transferir suas senhas LastPass para Keepass.

Mesmo que não seja tão conveniente quanto 1Password, se você estiver disposto a brincar, alguns plug-ins podem ser adicionados para corresponder à funcionalidade de seu par pago. É necessário um pouco de paciência, portanto, esteja preparado.

Nossos 2 centavos

É muito fácil culpar uma empresa e dizer que ela não tomou cuidado com seus dados. Mas isso é tão bom quanto culpar bancos quando há um roubo. As pessoas não pararam de colocar seu dinheiro lá e você também não deve parar de confiar em gerenciadores de senhas, só porque um deles foi hackeado.

Não estamos nem dizendo que a segurança foi negligente por parte do LastPass, mas eles definitivamente precisam puxar as meias. Não foi a primeira vez que um ameaça foi detectada em seu sistema, mas nas duas vezes nada importante foi roubado / perdido. Eles agiram rápida e prontamente notificando os usuários e já trataram do problema de segurança que levou a isso. Com um pouco mais de precaução, você pode garantir um estado de espírito muito mais feliz. Se você conseguir passar todo esse tempo pensando sobre seu saldo bancário, temos certeza de que também pode pensar algumas coisas sobre as senhas que os mantêm seguros.