Na semana passada, pouco antes do Natal, o LastPass lançou um anúncio bombástico: como resultado de uma violação em agosto, que levou a outra violação em novembro, os hackers colocaram as mãos nos cofres de senhas dos usuários. Embora a empresa insista que suas informações de login ainda estão seguras, alguns especialistas em segurança cibernética criticam fortemente sua postagem, dizendo que isso pode fazer as pessoas se sentirem mais seguras do que realmente são e apontando que este é apenas o mais recente de uma série de incidentes que tornam difícil confiar no gerenciador de senhas.
A declaração do LastPass de 22 de dezembro foi “cheia de omissões, meias-verdades e mentiras absolutas”, diz uma postagem no blog de Wladimir Palant, um pesquisador de segurança conhecido por ajudar a desenvolver originalmente o AdBlock Pro, entre outras coisas. Algumas de suas críticas tratam de como a empresa enquadrou o incidente e quão transparente está sendo; ele acusa a empresa de tentar retratar o incidente de agosto, onde o LastPass diz que “algum código-fonte e informações técnicas foram roubadas” como uma violação separada quando ele diz que, na realidade, a empresa “falhou em conter” a violação.
“A alegação do LastPass de ‘conhecimento zero’ é uma mentira descarada.”
Ele também destaca a admissão do LastPass de que os dados vazados incluíam “os endereços IP dos quais os clientes estavam acessando o serviço LastPass”, dizendo que isso poderia permitir que o agente da ameaça “criasse um perfil de movimento completo” dos clientes se o LastPass estivesse registrando todos os endereços IP que você usou. com seu serviço.
Outro pesquisador de segurança, Jeremi Gosney, escreveu um longo post no Mastodon explicando sua recomendação de mudar para outro gerenciador de senhas. “A alegação do LastPass de ‘conhecimento zero’ é uma mentira descarada”, diz ele, alegando que a empresa tem “tanto conhecimento quanto um gerenciador de senhas pode ter”.
O LastPass afirma que sua arquitetura de “conhecimento zero” mantém os usuários seguros porque a empresa nunca tem acesso à sua senha mestra, que é o que os hackers precisariam para desbloquear os cofres roubados. Embora Gosney não conteste esse ponto em particular, ele diz que a frase é enganosa. “Acho que a maioria das pessoas imagina seu cofre como uma espécie de banco de dados criptografado onde todo o arquivo é protegido, mas não – com o LastPass, seu cofre é um arquivo de texto simples e apenas alguns campos selecionados são criptografados.”
Palant também observa que a criptografia só faz bem a você se os hackers não conseguirem quebrar sua senha mestra, que é a principal defesa do LastPass em seu post: se você usar seus padrões para comprimento e fortalecimento de senha e não a reutilizou em outro site, “levaria milhões de anos para adivinhar sua senha mestra usando a tecnologia de quebra de senha geralmente disponível”, escreveu Karim Toubba, CEO da empresa.
“Isso prepara o terreno para culpar os clientes”, escreve Palant, dizendo que “o LastPass deve estar ciente de que as senhas vai ser descriptografados para pelo menos alguns de seus clientes. E eles já têm uma explicação conveniente: esses clientes claramente não seguiram suas melhores práticas.” No entanto, ele também aponta que o LastPass não aplicou necessariamente esses padrões. Apesar de tornar as senhas de 12 caracteres o padrão em 2018, Palant diz: “Posso fazer login com minha senha de oito caracteres sem nenhum aviso ou solicitação para alterá-la”.
“Eles essencialmente cometem todos os pecados ‘crypto 101’”
Tanto Gosney quanto Palant também têm problemas com a criptografia real do LastPass, embora por razões diferentes. Gosney acusa a empresa de basicamente cometer “todos os pecados do ‘crypto 101’” com a forma como sua criptografia é implementada e como ela gerencia os dados depois de carregados na memória do seu dispositivo.
Enquanto isso, Palant critica o post da empresa por pintar seu algoritmo de fortalecimento de senha, conhecido como PBKDF2, como “mais forte que o típico”. A ideia por trás do padrão é que torna mais difícil adivinhar suas senhas com força bruta, pois você teria que realizar um certo número de cálculos em cada palpite. “Eu me pergunto seriamente o que o LastPass considera típico”, escreve Palant, “dado que 100.000 iterações PBKDF2 são o número mais baixo que já vi em qualquer gerenciador de senhas atual”.
Bitwarden, outro gerenciador de senhas popular, diz que seu aplicativo usa 100.001 iterações e adiciona outras 100.000 iterações quando sua senha é armazenada no servidor para um total de 200.001. O 1Password diz que usa 100.000 iterações, mas seu esquema de criptografia significa que você precisa ter uma chave secreta e sua senha mestra para desbloquear seus dados. Esse recurso “garante que, se alguém obtiver uma cópia do seu cofre, simplesmente não poderá acessá-lo apenas com a senha mestra, tornando-o inquebrável”, de acordo com Gosney.
Palant também aponta que o LastPass nem sempre teve esse nível de segurança e que as contas mais antigas podem ter apenas 5.000 iterações ou menos – algo The Verge confirmado na semana passada. Isso, junto com o fato de ainda permitir que você tenha uma senha de oito caracteres, torna difícil levar a sério as alegações do LastPass sobre levar milhões de anos para quebrar uma senha mestra. Mesmo que isso seja verdade para alguém que criou uma nova conta, o que acontece com as pessoas que usam o software há anos? Se o LastPass não emitiu um aviso ou forçou uma atualização para essas configurações melhores (o que Palant diz que não aconteceu com ele), então seus “padrão” não são necessariamente úteis como um indicador de quão preocupados seus usuários deveriam estar.
Outro ponto crítico é o fato de que o LastPass, por anos, ignorou os apelos para criptografar dados como URLs. Palant aponta que saber onde as pessoas têm contas pode ajudar os hackers a atingir especificamente os indivíduos. “Os atores de ameaças amor para saber o que você tem acesso. Então, eles poderiam produzir e-mails de phishing bem direcionados apenas para as pessoas que valem o esforço”, escreveu ele. Ele também aponta que às vezes os URLs salvos no LastPass podem dar às pessoas mais acesso do que o pretendido, usando o exemplo de um link de redefinição de senha que não expirou corretamente.
Há também um ângulo de privacidade; você pode dizer a um muito sobre uma pessoa com base em quais sites ela usa. E se você usasse o LastPass para armazenar as informações da sua conta para um site de pornografia de nicho? Alguém poderia descobrir em que área você mora com base em suas contas de provedor de serviços públicos? A informação de que você usa um aplicativo de namoro gay colocaria sua liberdade ou vida em perigo?
Uma coisa com a qual vários especialistas em segurança, incluindo Gosney e Palant, parecem concordar é o fato de que essa violação não é uma prova positiva de que os gerenciadores de senhas baseados em nuvem são uma má ideia. Isso parece ser uma resposta às pessoas que pregam os benefícios de gerenciadores de senhas completamente offline (ou mesmo apenas anotando senhas geradas aleatoriamente em um notebook, como vi um comentarista sugerir). Há, é claro, benefícios óbvios nessa abordagem – uma empresa que armazena as senhas de milhões de pessoas receberá mais atenção dos hackers do que o computador de um indivíduo, e obter algo que não esteja na nuvem é muito mais difícil.
Mas, como as promessas das criptomoedas de permitir que você seja seu próprio banco, executar seu próprio gerenciador de senhas pode trazer mais desafios do que as pessoas imaginam. Perder seu cofre devido a uma falha no disco rígido ou outro incidente pode ser catastrófico, mas fazer o backup apresenta o risco de torná-lo mais vulnerável a roubo. (E você se lembrou de dizer ao seu software de backup automático na nuvem para não fazer upload de suas senhas, certo?) Além disso, sincronizar um cofre offline entre dispositivos é, para dizer o mínimo, um pouco trabalhoso.
Quanto ao que as pessoas devem fazer sobre tudo isso, tanto Palant quanto Gosney recomendam pelo menos considerar a mudança para outro gerenciador de senhas, em parte por causa de como o LastPass lidou com essa violação e pelo fato de ser o sétimo incidente de segurança da empresa em pouco mais de uma década. . “Está bastante claro que eles não se preocupam com sua própria segurança e muito menos com a sua segurança”, escreve Gosney, enquanto Palant questiona por que o LastPass não detectou que os hackers estavam copiando os cofres de seu armazenamento em nuvem de terceiros enquanto estava acontecendo. (A postagem da empresa diz que “adicionou recursos adicionais de registro e alerta para ajudar a detectar qualquer outra atividade não autorizada”.)
O LastPass disse que a maioria dos usuários não precisará tomar nenhuma ação para se proteger após essa violação. Palant discorda, chamando a recomendação de “negligência grosseira”. Em vez disso, ele diz que qualquer pessoa que tenha uma senha mestra simples, um número baixo de iterações (veja como você pode verificar) ou que seja potencialmente um “alvo de alto valor” deve considerar a alteração de todas as suas senhas imediatamente.
Essa é a coisa mais divertida para fazer durante as férias? Não. Mas também não é limpar depois que alguém acessou suas contas com uma senha roubada.
Sobre Anônimo
0 comentários:
Postar um comentário