Atenção usuários do LastPass mudem suas senhas!

22 jun 2015

Os gerenciadores de senhas online podem tornar sua vida muito mais fácil, inserindo automaticamente senhas individuais para cada site e serviço que você visita. É uma ferramenta muito conveniente a menos que seja hackeado. Neste caso, os cibercriminosos podem ter acesso à informação muito valiosa basta hackear apenas uma senha – inclusive, uma qe esteja associada às suas credenciais bancárias.

LastPass é um gerenciador de senhas popular e recentemente divulgou a violação na rede. Os atacantes comprometeram endereços de e-mail de usuários, lembretes de senha, per-user salts (dados agregados a senhas para tornar mais difíceis as violações) e hashes de autenticação. As próprias senhas não estão em perigo, já que o serviço conta com armazenamento na nuvem. No entanto, LastPass recomenda que os usuários alterem suas senhas mestre e permita a autenticação múltiplos fatores.

keys_vk

Vamos dar créditos para a empresa: quando o LastPass encontrou a brecha, rapidamente deu um aviso público. Para o benefício dos hackers, muitas empresas grandes tentam manter as violações em segredo, mas este não foi o caso.

Ao mesmo tempo, ocorreram consequências duvidosas. O CEO e fundador da LastPass Joe Siegrist afirma que o incidente não vai influenciar “a grande maioria dos usuários”. Alguns pesquisadores apoiam esta posição, declarando que não há risco para os usuários com senhas fortes.

Outros pesquisadores consideram que a violação pode levar a uma nova onda de atividade maliciosa voltado diretamente para os usuários LastPass. Os hackers armados com a lista de e-mail real podem criar uma campanha de phishing direcionada para fraudar os dados em falta. Por exemplo, LastPass está aconselhando os usuários a alterarem suas senhas mestres.

Mas, o que impede que os cibercriminosos façam spam com os usuários de LastPass a partir de e-mails disfarçados de oficiais/legítimos? Quando as pessoas recebem um e-mail normal, não suspeito, com alertas e recomendações dos “desenvolvedores”, elas poderiam facilmente seguir um link para mudar sua senha mestre – e deixar o caminho livre para os cibercriminosos praticar suas fraudes.

 

Aqui está o que recomendamos aos usuários do LastPass:

1) Siga as recomendações oficiais: não mude a senha mestre  e habilite a autenticação de múltiplos fatores. Seria excelente se você pudesse ativá-lo em outros sites, bem como, por exemplo, em redes sociais e e-mails.

2) Não clique em links suspeitos de e-mails que afirmam que são do LastPass. Poderiam ser falsos, é por isso que é melhor entrar na URL manualmente na barra de endereços do seu navegador.

3) Tenha certeza de não usar sua senha mestra em qualquer outro site. É sempre bom usar senhas diferentes para serviços diferentes.

Esta não é a primeira vez que LastPass tem de lidar com questões de segurança. No verão passado, a Universidade de Califórnia de Berkeley revelou falhas de segurança em cinco gerenciadores de segurança, incluindo LastPass. Os outros quatro foram RoboForm, My1Login, PasswordBox e NeedMyPassword.

 

Como você devem saber, não há solução de segurança perfeita. Uma empresa precisa de coragem para assumir a responsabilidade e revelar o incidente de violação apesar do risco de perder o cliente. Alguns dos usuários LastPass podem desejar mudar para outros serviços, enquanto outros cotinuarão usando sem problema.

Se você está pensando em um novo gerenciador de senhas, não podemos deixar de recomendar o que nós conhecemos: Kaspersky Password Manager. Nós não armazenamos as senhas dos usuários, de modo que este dados é impossível de roubar dos servidores da Kaspersky.

Mas você pode ir ainda mais longe e instalar o Kaspersky Total Security Multi-dispositivos, que incorpora um gerenciador de senha, bem como todos os recursos de segurança necessários para proteger seus dispositivos e seus dados de qualquer malware.

Tradução: Juliana Costa Santos Dias