Lastpass hackeado: aqui está o que você precisa fazer

Nós amávamos o LastPass tanto que realmente o chamávamos de o melhor gerenciador de senhas. Então, quando a história do hack surgiu há algum tempo, estávamos todos em estado de choque. Mas, isso significa que todo mundo deveria abandonar o LastPass e usar outra coisa? Suas senhas estão seguras na nuvem? Podemos confiar na empresa novamente? É o que estamos tentando descobrir.

Não entre em pânico

Escusado será dizer que esta é a primeira coisa que precisa ser feita. Entrar em pânico, ou pior, espalhar informações falsas por qualquer meio, não é o caminho certo para responder a qualquer crise. Embora seja natural sentir medo quando você lê uma notícia como essa, é preciso perceber que o pânico desnecessário simplesmente não serve a nenhum propósito. Em seu post no blog, o LastPass deixou claro, e cito,

Em nossa investigação, não encontramos nenhuma evidência de que os dados criptografados do cofre do usuário foram obtidos, nem que as contas de usuário do LastPass foram acessadas.

Sim, continua dizendo que

A investigação mostrou, no entanto, que os endereços de e-mail da conta do LastPass, os lembretes de senha, os sais do servidor por usuário e os hashes de autenticação foram comprometidos.

Mas o que isso significa, você pergunta? Simplesmente, significa que, enquanto todas as suas senhas são seguras, outras informações podem não ser. Para o qual, novamente, o post do blog já declarou algumas dicas úteis.

Sim, os dados dos gerenciadores de senha são armazenados na nuvem, mas as informações são criptografadas diretamente no seu computador. E mesmo que a arquitetura de computação em nuvem envolva um pequeno risco, você ainda pode ficar tranquilo sabendo que todos os dados criptografados nunca são armazenados lá. Quais incluem todas as suas senhas.

Dica útil: Confira nosso Guia definitivo sobre senhas para saber tudo sobre como criar e gerenciar senhas na Internet.

A prevenção é sempre melhor que remediar

Este velho ditado nunca poderia ser mais relevante do que nestes tempos de bisbilhotice na Internet e perda de privacidade. Aqui estão alguns passos que você deve seguir quando se trata de sua conta do LastPass, para garantir que você não perca seu sono por causa de tais incidentes.

Alterar a senha mestra

Para alterar a senha mestra do LastPass, basta clicar em Preferências, onde você encontrará a seção Configurações da conta à esquerda. Clicando nele, você terá a opção de clicar aqui para iniciar as configurações da conta, conforme mostrado abaixo.

Clicando em que irá abrir uma nova aba, onde tudo que você precisa fazer é apertar o botão Change Master Password e ir para uma alternativa mais nova (e mais forte).

É isso, o passo mais importante que você deve fazer após este incidente é feito!

Autenticação de 2 fatores e outras opções de segurança

Achamos que é uma boa ideia usar a Autenticação de 2 Fatores sempre que possível e, especialmente, em locais onde dados confidenciais são armazenados. O LastPass está absolutamente correto em sugerir o uso deste serviço e achamos que você deve fazer isso imediatamente, depois de alterar sua senha mestra. Na verdade, ao mesmo tempo, considere adicionar o fator de autenticação em duas etapas a todos os serviços que você usa que contêm dados confidenciais.

No LastPass, você encontrará Opções Multifactor em Configurações da Conta (veja acima). É aqui que você encontrará opções para proteger ainda mais sua conta do LastPass. Você também verá a opção de Autenticação em Grade sobre a qual escrevemos anteriormente.

Restrição baseada no país

Outra camada de segurança que o LastPass implica que seus usuários explorem é a política de restrição baseada em país. Uma vez ativado, isso permitirá que apenas os dispositivos originados no país de sua residência acessem seus dados do LastPass. Se um dispositivo de qualquer outro país tentar acessá-lo, ele mostrará uma mensagem de erro. Nós cobrimos isso com muito detalhe e você definitivamente deveria lê-lo, se ainda não o fez.

Ainda preocupado?

Não seja. Não há mais nada a ser feito aqui. O LastPass já atualizou sua segurança e já está solicitando que os usuários sejam verificados por e-mail, se estiverem usando um novo dispositivo ou um novo IP. Para verificar isso, tentamos isso e ficamos felizes em informar que essa etapa funciona da mesma forma que foi anunciada.

Os usuários existentes também estão sendo solicitados a alterar sua senha mestra, mas, mesmo que você não receba esse aviso, recomendamos que você faça isso de qualquer maneira. Por fim, gostaríamos de citar Jeremi Gosney (especialista em segurança de senha do Stricture Group) que falou com a Ars Technica sobre o hack -

Em um NVIDIA GTX Titan X, que atualmente é o GPU mais rápido para quebrar senhas, um atacante só poderia fazer menos de 10.000 palpites por segundo para um único hash de senha. Isso é devagar! Mesmo senhas fracas são bastante seguras com esse nível de proteção (a menos que você esteja usando uma senha absurdamente fraca). E isso nem conta para o número de iterações do lado do cliente, que é configurável pelo usuário. O padrão é de 5.000 iterações, portanto, no mínimo, estamos analisando 105.000 iterações. Na verdade, tenho o meu definido para 65.000 iterações, o que representa um total de 165.000 iterações protegendo minha frase secreta do Diceware. Então não, eu definitivamente não estou suando essa brecha. Eu nem me sinto obrigado a mudar minha senha mestra.

De fato, alguns membros de nossa própria equipe usam a ferramenta e fizemos exatamente as mesmas coisas que declaramos acima. E agora queremos espalhar o conhecimento para o maior número de pessoas possível.

Quer experimentar alternativas?

Ok, se você acha que perdeu a fé no LastPass por causa de tudo isso, é claro que sempre há alternativas. Se você estiver disposto a investir um pouco de dinheiro (e um pouco dessa fé perdida), então sempre haverá 1Password. É a mesma arquitetura e medidas de segurança em jogo, mas o Agilebits, a empresa por trás do 1Password, tem um histórico melhor do que o LastPass. Com isso, queremos dizer que nunca foi hackeado. Não foi relatado, para ser mais preciso. Ainda.

Transfira suas senhas no iOS: é fácil transferir seus dados do LastPass para o 1Password para iOS, depois de ler nosso útil artigo sobre ele.

Se você não está disposto a gastar nada, então há uma alternativa livre. É chamado KeepPass e é open source também. E também escrevemos um guia para transferir suas senhas do LastPass para o Keepass.

Mesmo que não seja tão conveniente quanto o 1Password, se você estiver disposto a brincar, alguns plugins podem ser adicionados para combinar com a funcionalidade do seu par pago. É preciso alguma paciência, no entanto, esteja preparado.

Nossos 2 centavos

É muito fácil culpar uma empresa e dizer que ela não foi cuidadosa com seus dados. Mas isso é tão bom quanto culpar os bancos quando há um assalto. As pessoas não pararam de colocar seu dinheiro lá e nem você deve parar de confiar nos gerenciadores de senha, apenas porque um deles foi hackeado.

Nós nem estamos dizendo que a segurança foi negligente na parte do LastPass, mas eles definitivamente precisam puxar suas meias. Não foi a primeira vez que uma ameaça foi detectada em seu sistema, mas em ambas as vezes nada foi roubado / perdido. Eles agiram com rapidez e prontamente notificaram os usuários e já lidaram com a questão de segurança que levou a isso. Com um pouco mais de precaução, você pode garantir um estado de espírito muito mais feliz. Se você pode gastar todo esse tempo pensando sobre seu saldo bancário, temos certeza que você pode poupar alguns pensamentos para as senhas que os mantêm seguros também?