0
0
Alguns meses atrás, o LastPass sofreu uma violação significativa . Os hackers obtiveram o código-fonte e os dados do usuário, incluindo cofres secretos criptografados e metadados de texto simples. Esta não é a primeira violação que o LastPass sofreu.
Essa violação me colocou em uma situação estranha. Eu tinha sido um campeão do uso de cofres secretos por alguns anos. Após um breve período de teste e exame, escolhi o LastPass, embora já tivesse sido violado antes . Estando feliz com a experiência, apesar de suas peculiaridades e de uma tentativa de integração, recomendei seu uso a todos de quem me importava – minha família, amigos e colegas. Ajudei-os a integrar e gerar senhas aleatórias, instalar o aplicativo em todos os lugares e criar uma senha mestra realmente boa. Em alguns casos, isso não foi fácil e exigiu muita orientação e convencimento de minha parte.
O fato óbvio que eu não havia percebido na época era que uma recomendação tão forte como essa vem com uma responsabilidade implícita. Quando essas pessoas veem um importante artigo de notícias sobre suas senhas pertencentes a hackers agora, elas me procuram para fazer perguntas. Eles estão certos – eu os coloquei nessa confusão, não foi?
Por que evangelizar gerentes secretos?
Nem sempre estive convencido de que os gerentes secretos eram uma boa ideia, especialmente os comerciais com sua própria infraestrutura de nuvem. Quando adolescente, comecei onde mais pessoas fazem, usando uma “boa senha” para tudo, acrescentando um prefixo ou sufixo específico do serviço para evitar a duplicação direta de senha. Também tive a infeliz experiência de trabalhar em uma empresa que me obrigava a trocar minha senha a cada 30 dias. O número anexado ao final de sua senha era um símbolo de antiguidade naquela organização. Cheguei a algum número na casa dos 40 e fiquei muito orgulhoso de mim mesmo e de como eu era experiente. Claro, quando você está orgulhoso de algo, você realmente quer compartilhar. E assim fizemos.
Sempre soube que compartilhar a parte mais grossa da minha senha entre os serviços era uma má ideia. Esse conhecimento tornou-se realidade quando comecei a entender como os hackers utilizam essas táticas comuns, porém falhas, a seu favor. Anexar duas letras à sua “boa senha” não impede que um invasor comprometa um serviço com base em uma senha comprometida para o outro. Isso só faz você se sentir bem em cumprir uma política ruim. Felizmente, as alterações mensais de senha agora são ultrapassadas.
Mas minha primeira tentativa de resolver meu problema de senha foi usar o gerenciador de senhas baseado em C simples personalizado do meu pai. Era muito básico: criptografar e descriptografar um arquivo de texto. Você coloca o arquivo criptografado em uma unidade compartilhada e, parabéns, você tem um gerenciador secreto! Claro, isso tem desvantagens claras, como nenhum suporte móvel, preenchimento automático ou geração de senha. Eu também escrevi minha própria interface baseada em CLI em cima da nuvem e keyvaults nativos. Foi ótimo, mas ainda assim, sem utilitários. Eu usei essas duas opções por um longo tempo. Eu ainda estava procurando soluções com esses recursos utilitários, mas qualquer coisa com a palavra “nuvem” era negada na porta.
Então fiz um curso avançado de criptografia como parte de um mestrado em ciência da computação. A beleza das árvores de Merkel e as provas de conhecimento zero estimularam minha imaginação e me fizeram devorar a Web em busca de aplicações do mundo real. Encontrei um artigo científico descrevendo cofres secretos e a ideia simplesmente deu certo. Claro, faz todo o sentido! A única maneira de minhas senhas serem realmente seguras é presumir que o provedor do cofre é malicioso e ainda ter certeza de que não pode realizar nada significativo. Cheguei à conclusão de que um gerenciador de senhas que segue a teoria seria seguro de usar.
O outro vetor de ameaça para obter minha senha é um fornecedor mal-intencionado ou parte desse fornecedor. Eles poderiam, por exemplo, roubar minha senha mestra do aplicativo cliente, tornando irrelevantes as proteções teóricas. Depois de ler as análises que colocaram diferentes clientes de gerenciadores de senhas sob escrutínio, fiquei convencido de que as implementações estão de acordo com os padrões e é hora de migrar.
Vários anos depois, me deparei com centenas de senhas geradas automaticamente e gerenciadas pelo meu gerenciador de senhas. Também consegui convencer as pessoas de quem gosto a fazer essa jornada também. Eu estava muito feliz com isso.
E se meu cofre for violado?
Se os hackers realmente obtiverem acesso às minhas senhas de texto sem formatação, estarei em um mundo de dor. Eu tenho o MFA ativado em qualquer coisa importante, mas o MFA de qualquer maneira é notoriamente difícil de realizar. Só de pensar em rolar todas essas senhas manualmente me dá dor de cabeça. Não me vejo conseguindo convencer minha família a fazer isso nas contas deles também.
Em suma, esse cenário seria catastrófico.
Espere, seu gerenciador de senhas não foi violado?
Bem, sim, definitivamente. Um colega que escolheu o LastPass por conselho meu recentemente me fez duas perguntas depois de ler um artigo preocupante. O que aconteceu? e como ele deve reagir?
Minha resposta para a primeira pergunta não poderia ser pior. Os hackers comprometeram o código e os dados. Os dados contêm nossos cofres, com metadados de texto simples, incluindo endereços de e-mail e nossas senhas criptografadas.
Minha resposta à segunda pergunta foi muito diferente. Não há indicação de que os hackers roubaram senhas mestras abusando do cliente. Podemos supor que isso não aconteceu ou veríamos uma série de reproduções em toda a indústria. Portanto, se sua senha mestra for forte o suficiente para não ser quebrada e você tiver MFA em tudo o que importa, tudo bem. Se você ainda se sentir duvidoso, role suas senhas importantes.
Medidas concretas a serem tomadas se você foi afetado pela violação:
- Role sua senha mestra.
- Habilite o MFA e role as senhas em todos os lugares que importam.
- Se sua senha mestra for fraca, aconselho fortemente que você role todas as suas senhas.
Como pode ser? Essas respostas não são contraditórias?
A natureza aparentemente contraditória dessas duas respostas mostra o quão poderoso é evitar o armazenamento de dados confidenciais.
LastPass foi violado. Repetidamente. Os atacantes levaram tudo o que havia para levar. O impacto é severo, mas não catastrófico, pelo menos considerando o que sabemos agora. Essa é uma propriedade brilhante do design do sistema.
FONTE: DARK READING