Notícias

Cuidado, há uma nova falha grave a comprometer o LastPass

45 Comentários

O LastPass é provavelmente o gestor de passwords mais usado da Internet. Presente em quase todos os sistemas, garante que os utilizadores não esquecem ou perdem uma palavra-passe.

Tal como qualquer outro sistema, também o LastPass está sujeito a falhas. Uma nova foi agora descoberta, estando a empresa já a trabalhar na sua resolução.

LastPass

Os últimos tempos não têm sido pacíficos para o LastPass, no que toca à segurança. Foram várias as falhas descobertas e prontamente resolvidas, mostrando que este serviço está atento e que garante respostas rápidas.

Mas uma nova falha foi anunciada este fim de semana, por um elemento da equipa Project Zero da Google, que se dedica a avaliar e a procurar falhas nos sistemas e aplicações.

A falha em causa e a forma de ser explorada não foram reveladas, garantindo assim que não pode ser explorada por atacantes, comprometendo a segurança do próprio serviço.

A LastPass já reagiu a esta nova falha

Assim que foi notificada da falha, a equipa de programadores do LastPass começou a tratar de encontrar uma forma de a resolver. A empresa já reconheceu o problema, numa publicação do seu blog.

This attack is unique and highly sophisticated. We don’t want to disclose anything specific about the vulnerability or our fix that could reveal anything to less sophisticated but nefarious parties. So you can expect a more detailed post mortem once this work is complete

Apesar de não existir ainda uma resolução, espera-se que dentro de dias surja uma atualização que a corrija e que resolva de uma vez por todas estes problemas.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
bug falha lastpass Segurança

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Os 20 telemóveis mais vendidos de sempre
Artigo anterior

Os 20 telemóveis mais vendidos de sempre
Neuralink: Elon Musk quer “ligar” o cérebro ao PC
Próximo artigo

Neuralink: Elon Musk quer “ligar” o cérebro ao PC
PUB

Comentários

45

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Alvega
    Alvega

    Mais uma ASSOMBRAÇÃO de privacidade, ou falta dela ?

    Responder
    1. Avatar de Joaquim
      Joaquim

      Eu sempre o usei o BrainPass. É o mais fiável.

      Responder
      1. Avatar de Rodrigo
        Rodrigo

        Continua a acreditar no pai Natal.

        Responder
      2. Avatar de PHas
        PHas

        Sugiro um caderno por 40 cêntimo, sai “mais barato”

        Responder
    2. Avatar de Pedro Simões
      Pedro Simões

      Um pouco estranho esse comentário, mas nada a que não estejamos habituados. Fala-se de um problema de segurança de uma aplicação que vai desde o desktop até ao browser, passando pelos dispositivos móveis, e surge um “ataque” despropositado…

      Ok, fica a nota…

      Responder
  2. Avatar de Paulo
    Paulo

    Keepass (offline) não há melhor! Garantido

    Responder
    1. Avatar de José Rodrigues
      José Rodrigues

      Também tem falhas de segurança com breaches de .dll (já patched), além de obtendo o .kdbx é uma questão de tempo.
      Na minha empresa roda uma solução ISO 27001 certified, com audit trail sobre todas as acções incluindo visualização ou print e acessos às DBs assim como segmentação por user.
      A nível pessoal tenho uma tecnologia recente chamada memória 😉

      Responder
      1. Avatar de Evandro
        Evandro

        O kbdx pode ser quebrado em quanto tempo? As explicações que ouvi diziam que era algo próximo a alguns milhões de anos.

        Responder
      2. Avatar de darkvoid
        darkvoid

        Informe-se melhor, o kdbx pode ser quebrado sim mas demorar-se-ia muitos anos!

        Responder
      3. Avatar de N'uno
        N’uno

        Se tiverem uma password fraca no kdbx podem ter a certeza que não demora anos. Para além disso, não se esqueçam que os hackers controlam tipicamente muitos milhares de máquinas, e não será muito complicado pô-las todas a varrer uns milhões de chaves possíveis em poucas horas, com a agravante que estas até podem trabalhar 24×7 durante meses sem que os seus proprietários disso se apercebam.

        Responder
  3. Avatar de Antunes
    Antunes

    Ainda existe crentes a colocar os ovos todos no mesmo cesto?

    Responder
    1. Avatar de Wallace
      Wallace

      Antunes, estou curioso! Como gere as suas passwords?

      Responder
      1. Avatar de Antunes
        Antunes

        Garanto-te que não as guardo todas no mesmo cesto! O lobo mau anda ai…

        Responder
  4. Avatar de Jarvis
    Jarvis

    É bem feito. Mas quem é a pessoa com dois dedos de testa que vai confiar passwords a um programa a programas informáticos que podem ser crackados? A sério, esta malta não acorda para a vida.

    Responder
    1. Avatar de Jorge
      Jorge

      Como é que tens uma afirmacao dessas enquanto usas um sistema eletronico?
      Melhor, estás a disponibilizar os teus dados online aqui e a fazer figuras com a tua mentalidade retrógrada.
      #Hipocrisia

      Responder
      1. Avatar de Jarvis
        Jarvis

        Ficas com birra quando te criticam? Coitadinho. Depois vem chorar muito que te apanharam as passwords e que são uns malandros, oh inteligente. Ainda bem que sou retrógrado! Esta carneirada não tem mesmo solução. Anda tudo a dormir na forma! Milhares de exemplos de informação que é apanhada por hackers, e o que é que esta malta mete na net? As suas passwords. Olha que inteligentes!

        Responder
    2. Avatar de Ask Me
      Ask Me

      Eu, não tenho problema nenhum pois são passwords de sites que não têm grande importância. Agora sites como Netbanco isso nunca colocaria mas como tenho muitas dezenas de registos em sites e forums é mais simples utilizar o LastPass e não tenho preocupação nenhuma com segurança pois não são sites de grande importância caso alguém tenha acesso aos meus dados de lá.

      Responder
      1. Avatar de Pedro
        Pedro

        +1

        Responder
      2. Avatar de Renato
        Renato

        +1

        Responder
      3. Avatar de Miguel Porto
        Miguel Porto

        +1

        Responder
      4. Avatar de Spike
        Spike

        +1

        Responder
  5. Avatar de censo
    censo

    Ainda não percebi a lógica de segurança que leva o pessoal a usar este tipo de aplicações. As passwords são para estar guardadas na memória ou num auxiliar.

    Responder
    1. Avatar de P
      P

      Péssima ideia.
      A não ser que o auxiliar seja um password manager, é uma péssima ideia isso da memória.

      Responder
      1. Avatar de censo
        censo

        Guardas as chaves dentro do cofre???

        Responder
        1. Avatar de P
          P

          Sim, guardo as chaves dentro do cofre, em que só eu sei a combinação do cofre.

          É algo assim tão estranho?

          Responder
          1. Avatar de N'uno
            N’uno

            Esse cofre é muito mais fácil de abrir do que pensas…

    2. Avatar de Wallace
      Wallace

      O problema em guardar as passwords na memoria e’ que e’ muito limitada. Pode haver lapsos de memoria, alem de ser impossivel um cerebro memorizar varias passwords seguras. Por exemplo. eu tenho mais de 150 passwords no meu gestor de passwords (e nao sao muitas) todas elas sao diferentes, nao significam nada pois sao uma cadeia de mais de 30 caracteres. seria impossivel para mim memorizar tudo. Escrever num papel estaria fora de questao uma vez que digitar cada cadeia de caracteres do genero: &gagdTFA534kLsaad*ttasbsdrw45 senmpre que quisesse aceder ao email…. Ainda por cima o que acontece se o papelinho com as passwords cair nas maos erradas ou nao o tiver consigo?

      O auxiliar que refere pode muito bem ser um gestor de passwords onde elas sao armazenadas e ENCRIPTADAS. Existem varios gestores de passwords, LastPass e’ apenas um com vatagens e desvantagens (como tudo na vida). Um gestor de passwords fortes e autenticacao por 2 factores e’ na mioria dos casos a melhor opcao para as nossas contas estarem seguras online.

      Responder
      1. Avatar de Xinuo
        Xinuo

        Mesmo com os 2 fatores, podem haver vulnerabilidades no site dos provedores de solução que permitam hackers ascender aos dados sem passar por esse tipo de verificação. Além de que deve-se confiar no provedor da solução, pois ele têm acesso aos dados.

        Para senhas de sites na internet eu uso o Firefox Sync, que é sucessor de um mais antigo, chamado X-Marks (antes Fox-Marks). São gestores de bookmarks, mas que evoluiram para gerenciar senhas. Mas para senhas mais sensíveis eu estou estudando usar o keePass.

        Responder
        1. Avatar de Luiz Souza
          Luiz Souza

          Uma correção… O Xmarks é dá Lastpass..

          Responder
  6. Avatar de int3
    int3

    Passwordsafe.

    Responder
  7. Avatar de Pedro
    Pedro

    Pelo que entendi e vi, pela fotografia, a falha tem haver com o programa em si, e não com os servidores. Mesmo assim, coloco a questão, sabendo que uma pessoa ao longo dos anos “acumula” centenas de sites, foruns, etc que usam passwords: O que é mais seguro? Criar centenas de passwords diferentes para cada site e tê-las geridas por um software (seja keepass, lastpass, passwordsafe, etc), ou ter meia duzia delas e utiliza-las várias vezes em vários sites?…
    E sim… eu sei que o mais “seguro” (até nos roubarem) é tê-las todas diferentes, num “bloquinho” que guardamos no bolso… Dualidade entre “ser prático” e “ser seguro”…

    Responder
  8. Avatar de Carlos Costa
    Carlos Costa

    Nunca mas nunca entendi o porquê de usar passwords na cloud.
    KeePass acima de tudo.

    Responder
    1. Avatar de sever
      sever

      No LastPass as passwords não estão na cloud, são encriptadas localmente (AES-256 bit), e apenas estes dados encriptados são enviados e guardados nos servers deles. Portanto, sem a master password nada feito. 🙂

      Responder
    2. Avatar de Rolha
      Rolha

      Hoje em dia estar num computador ligado à net é estar numa cloud, mesmo que tenhas todas as passwords numa pen offline que só ligas para aceder aos sites, ou num bloco de papel, acabas sempre por estar “vulnerável” no momento que as estás a utilizar. Claro que tê-las permanentemente num pass manager na cloud é sempre um risco acrescido, mas tb não é assim tão inseguro, estão bem protegidos e em cima do acontecimento. E como já disseram é uma questão de equilibrar o prático com o seguro. Usar passmanagers para os sites mais “inofensivos” e guardar na memória ou num bloco de notas, com encriptação manual 🙂 as passwords mais sensíveis como netbancos e afins. O Lastpassword é bastante prático para ter as passwords em qualquer lugar com acesso à net, e não tens o problema de te esqueceres do bloco de nota ou pen em casa. Claro que cada um faz o que acha melhor.

      Responder
    3. Avatar de Luiz Souza
      Luiz Souza

      Amigo, diga isso quando sofrer um ransonware… Se acha que em “seu mundinho” os ataques não te afetam… É hora de repensar na tua vida digital… Hehehe

      Responder
  9. Avatar de Pedro
    Pedro

    Soubeste do “The Fappening”…

    Responder
  10. Avatar de José Colzani
    José Colzani

    Com certeza nada é 100% seguro, isso não há dúvidas.
    Porém utilizo sim o LastPass a muito tempo já.
    No dia que quebrarem minha senha master de 28 caracteres (hoje) e a contra senha, aí volto a usar papel.

    Responder
    1. Avatar de José Colzani
      José Colzani

      Autenticação de 2 fatores é fundamental, e foi o que eu quis dizer com “contra senha”.

      Responder
    2. Avatar de N'uno
      N’uno

      Eu também, só que a minha master tem muito mais que 28 caracteres e para além disso requer um segundo factor de autenticação.

      Responder
      1. Avatar de N'uno
        N’uno

        Outra coisa que normalmente se esquecem é que que podemos limitar as opções de utilização, entre outras funcionalidades interessantes para proteger mais ainda o nosso acesso.

        Responder
  11. Avatar de N'uno
    N’uno

    A única maneira de estar um pouco mais seguro é usar passwords muito fortes e gestores com vários factores de autenticação. Lastpass é dos mais seguros, ainda assim, desde utilizado com master passwords muito fortes e combinado com OTPs, pelo menos, ou 2FAs mais sofisticados, como as yubikeys. Os gestores offline (keepass, passwordsafe, etc) são mais inseguros, embora alguns permitam 2FAs, tornando-se assim melhores opções.

    Responder
  12. Avatar de Joao 2348
    Joao 2348

    Esta coisa de nome de utilizador e palavras-chaves tem de terminar de vez.

    O que gostaria de ver implementado a 100% seria o FIDO [quando finalmente utilizarem um algoritmo realmente seguro e não aqueles criados pela NSA (P-256, P-384 e P-521)]. ou então o SQRL (que ainda está em desenvolvimento).

    Das duas soluções o FIDO é o que parece mais segura se passarem a usar um algoritmo como o M-511 ou E-521, ou então o SQRL que é um pouco menos seguro mas mais flexível (pode usar-se a mesma chave privada até para várias contas no mesmo web site de forma segura) qualquer uma das soluções obviamente sempre usando um dispositivo físico dedicado somente a essa finalidade, para ser realmente seguro.

    Na realidade pode perfeitamente utilizar-se o SQRL para autenticar-se na conta desejada e depois o FIDO para o segundo factor de autenticação por exemplo (se tiver compreendido correctamente como o FIDO funciona).

    Responder
  13. Avatar de Márcio
    Márcio

    Utilizei por um ano o Lastpass, mas depois de testar usar o Enpass nunca mais larguei.

    Responder
  14. Avatar de darkvoid
    darkvoid

    Cada vez que vejo coisas do LastPass e vulnerabilidades dá-me vontade de rir (ou melhor chorar)
    O Lastpass é um serviço online! As passwords vão pela intenet e são guardadas por terceiros!
    Só pessoas ignorantes é que usariam um serviço desses, sujeito a exploits e tudo mais!

    A alternativa segura é usar o Keepass e só alimentado quando o cabo de rede estiver desligado!

    Responder
    1. Avatar de N'uno
      N’uno

      Eu diria que só ignorantes é que podem fazer afirmações como esta, assim como acreditar que estarão seguros se usarem um serviço offline como o Keepass com o cabo de rede desligado!

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.