Se você acompanhou o escândalo de vazamento de dados do LastPass, sabe que um pouco está falso com a segurança da Internet. As senhas nunca foram uma solução ideal para acessar suas contas, mas é a melhor que criamos desde a dezena de 1960. Estamos em pleno século XXI. É hora de seguir em frente.
O que aconteceu com o LastPass?
Para reunir a violação de dados do LastPass, os hackers roubaram tudo. A empresa de gerenciamento de senhas sofreu uma violação de dados em agosto, e o LastPass alegou na estação que os dados do cliente, contas, dados criptografados do cofre e senhas mestras estavam seguros.
No entanto, à medida que 2022 se aproxima, aprendemos que quase zero disso é verdade. Em postagens posteriores no blog, a empresa admitiu que os hackers “conseguiram obter aproximação a certos elementos das informações de nossos clientes”. E depois que eles receberam um “backup dos dados do cofre do cliente”.
De conciliação com a postagem do blog, os dados de backup continham “informações básicas da conta do cliente e metadados associados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP dos quais os clientes acessaram o serviço LastPass”. Entramos em contato com o LastPass para obter mais informações sobre o texto do backup roubado.
Ao longo da saga, o LastPass insistiu que as informações roubadas permaneçam criptografadas e que os hackers só possam obter as informações do cliente se souberem a senha mestra do usuário. E que levaria “milhões de anos” para decodificar as informações se os clientes seguissem as melhores práticas do LastPass. Essa argumento foi desmantelada pelo concorrente do LastPass, 1Password, alguns dias depois.
Onde estão os clientes do LastPass? Não em um bom lugar. No mínimo, eles devem mudar manualmente todas as senhas das contas que usam. Mas isso não ajuda contra as informações que os hackers já roubaram, o que é um cenário de pesadelo. Realmente não há muito o que fazer além de esperar que os hackers não quebrem a senha mestra.
Porquê você cria suas senhas?
Mas não são somente os clientes do LastPass que devem se preocupar. Quer você use um gerenciador de senhas ou não, a segurança da senha depende de um ponto-chave de irregularidade: uma vez que você cria suas senhas e senhas mestras.
Produzir uma senha potente não é tão fácil quanto as pessoas pensam. Somente senhas verdadeiramente aleatórias estão protegidas contra ataques de força bruta – quando os hackers fazem várias tentativas de senha com milhares ou milhões de possibilidades. Normalmente, esses tipos de ataques são frustrados por tentativas limitadas de senha. Mas quando os hackers têm tentativas ilimitadas (uma vez que fizeram com os dados do LastPass), é somente uma questão de tempo até que eles quebrem uma senha.
Portanto, uma vez que você cria sua senha mestra ou, se não usa um gerenciador de senhas, todas as suas senhas? Geralmente, as pessoas usam dispositivos mnemônicos para lembrar suas senhas. Por exemplo, se você usar o título do seu filme predilecto para lembrar sua senha, Jornada nas Estrelas II: A Ira de Khan poderia ser “$t4rTr3K2:7h#wR@tH0FkH@n.”
Parece uma senha muito potente, não é? Infelizmente não. Porquê Jeffrey Goldberg aponta em sua revogação da argumento de segurança de “milhões de anos” do LastPass, são exatamente esses tipos de mnemônicos de senha que os hackers tentarão prognosticar primeiro.
Às vezes, os usuários que não usam gerenciadores de senhas têm um esquema de senha um tanto potente para várias contas. Você cria uma senha mais ou menos aleatória, mas muda um ou dois caracteres dependendo do serviço. Eu sei”j$0&,81)*b?-“vai”j$0&,81)*b?-Fb‘ para o Facebook e ‘j$0&,81)*b?-tW‘ para Twitter, etc. Isso pode parecer um bom esquema, mas se somente uma de suas senhas for hackeada usando esse método, não demorará muito para que hackers inteligentes obtenham todas as suas senhas.
Os gerenciadores de senhas são uma ótima solução para alguns
Os gerenciadores de senhas são uma óptimo solução para esse problema. E, na maioria das vezes, serviços uma vez que o 1Password oferecem segurança insólito e possuem várias camadas de proteção e redundâncias para manter seguras suas senhas geradas aleatoriamente. Vale ressaltar que o 1Password nunca sofreu uma violação de dados, muito menos uma catastrófica uma vez que o LastPass acabou de testar.
Mas isso não significa que nunca acontecerá. E embora apreciemos muito o 1Password Cheque geeks, no mundo do delito de subida tecnologia, zero é absolutamente evidente. Os criminosos trabalham tão arduamente para enganar essas proteções quanto os profissionais de segurança trabalham para criá-las. Há muito verba e poder por aí para roubar as informações pessoais das pessoas.
E há a questão da crédito. Muitas pessoas não gostam de gerenciadores de senhas porque não gostam de ter todos os seus dados com terceiros, por melhor que seja a segurança. E a violação de dados do LastPass somente alimentará essa suspeita.
A autenticação de dois fatores é suficiente?
Tudo isso pode parecer acadêmico para quem usa autenticação de dois fatores (2FA) para suas contas de internet. 2FA adiciona uma categoria suplementar de proteção, por ex. B. Enviar uma mensagem de texto ou pedir para usar um aplicativo uma vez que o Authenticator (iOS, Android) para obter um código restrito toda vez que você fizer login. Isso ajuda no caso de pessoas mal-intencionadas adivinharem sua senha. Eles serão interrompidos quando atingirem a lanço de login 2FA. Também pode atuar uma vez que um sinal de alerta de que alguém está tentando acessar suas contas.
Serviços uma vez que instituições financeiras, mídia social, empregadores e muitos outros recomendam fortemente (e em alguns casos exigem) que os usuários habilitem essa categoria de proteção. E provou ser uma maneira eficiente de proteger suas contas.
Mas o 2FA não é infalível. É tão bom quanto o usuário que o usa. Por exemplo, os códigos 2FA estão sujeitos a ataques de phishing. Hackers inteligentes podem induzir os usuários a revelar suas informações. Às vezes, os malfeitores têm aproximação ao seu telefone e é mal eles podem acessar o código 2FA. Em casos raros, os hackers podem até falsificar seu número de telefone para interceptar seu código 2FA. E certamente haverá mais maneiras de minar a proteção dos códigos 2FA à medida que os hackers se tornarem mais adeptos do roubo de informações.
Digite a senha
Essas vulnerabilidades nas senhas são conhecidas há muito tempo pelos profissionais de tecnologia. E no ano pretérito, gigantes da tecnologia, incluindo Apple, Google e Microsoft, prometeram introduzir uma novidade medida de segurança chamada “senhas” para proteger os dados de seus clientes. Seus esforços foram alimentados por uma joint venture em todo o setor de tecnologia chamada FIDO Alliance.
Uma chave de aproximação é um método de autenticação armazenado localmente em seu dispositivo, por ex. B. um smartphone ou um laptop. Quando você cria sua chave de aproximação, seu dispositivo se torna seu método de autenticação, usando biometria uma vez que scanners faciais, leitores de sentimento do dedo, scanners de íris e reconhecimento de voz para verificar sua identidade. Isso significa que você nunca mais precisará produzir ou lembrar uma senha. E, pelo menos por enquanto, as senhas não são vulneráveis a métodos tradicionais de hacking, uma vez que ataques de força bruta e golpes de phishing.
Mas e se você perder seu dispositivo de autenticação? O melhor das chaves de aproximação é que as empresas que as desenvolvem mantêm um backup seguro de sua chave de aproximação, caso você precise restaurá-la. Por exemplo, a Apple faz backup de sua chave mestra para o chaveiro do iCloud e você pode transferi-la entre dispositivos, mesmo novos, conforme necessário.
Tanto a Apple quanto o Google introduziram chaves de aproximação oriente ano. A Microsoft apresentou sua própria solução sem senha em 2021. Os serviços de tecnologia em todo o mundo estão implementando tecnologia rapidamente para prometer a segurança de seus clientes. Até gerenciadores de senhas uma vez que 1Password, Dashlane e até LastPass estão adotando a tecnologia.
Agora que 2022 está chegando ao término, é hora de deixar para trás o protótipo arcaico de senhas e abraçar um mundo online novo e mais seguro.
