[ad_1]
Se você está acompanhando o escândalo de vazamento de dados do LastPass, sabe que algo está terrivelmente errado com a segurança da Internet. As senhas nunca foram uma solução ideal para acessar suas contas, mas são as melhores que criamos desde a década de 1960. Estamos no século XXI. É hora de mudar.
O que aconteceu com o LastPass?
Para resumir a violação de dados do LastPass: os hackers roubaram tudo. A empresa de gerenciamento de senhas sofreu uma violação de dados em agosto e, na época, o LastPass alegou que os dados do cliente, contas, dados criptografados do cofre e senhas mestras estavam seguros.
No entanto, à medida que 2022 se aproxima, aprendemos que quase nada disso é verdade. Em postagens subsequentes no blog, a empresa admitiu que os hackers “poderiam obter acesso a certos elementos das informações de nossos clientes”. E depois que eles obtiveram uma “cópia de backup dos dados do cofre do cliente”.
De acordo com a postagem do blog, os dados de backup continham “informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP dos quais os clientes acessaram o serviço LastPass”. Entramos em contato com o LastPass para obter mais informações sobre o conteúdo do backup roubado.
Ao longo da saga, o LastPass insistiu que as informações roubadas permaneçam criptografadas e que os hackers só possam obter informações do cliente se tiverem a senha mestra do usuário. E que se os clientes seguissem as melhores práticas do LastPass, levaria “milhões de anos” para decifrar as informações. Essa alegação foi desmascarada alguns dias depois pelo concorrente do LastPass, 1Password.
Onde isso deixa os clientes do LastPass? Não em um bom lugar. No mínimo, eles devem alterar manualmente todas as senhas das contas que usam. Mas isso não ajudará contra informações que os hackers já roubaram, o que é um cenário de pesadelo. Realmente não há muito o que fazer, exceto esperar que os hackers não quebrem a senha mestra.
Como você está criando suas senhas?
Mas não são apenas os clientes do LastPass que devem se preocupar. Quer você use um gerenciador de senhas ou não, a segurança de senhas se resume a um ponto central de falha: como você cria suas senhas e senhas mestras.
Criar uma senha forte não é tão fácil quanto as pessoas pensam. Somente senhas verdadeiramente aleatórias estão protegidas contra ataques de força bruta, quando os hackers fazem várias tentativas de senha usando milhares ou milhões de possibilidades. Normalmente, esses tipos de ataques são frustrados por tentativas limitadas de senha. Mas quando os hackers têm tentativas ilimitadas (como com os dados do LastPass), é apenas uma questão de tempo até que eles possam quebrar qualquer senha.
Então, como você está criando sua senha mestra ou, se você não usa um gerenciador de senhas, todas as suas senhas? Em geral, as pessoas usam dispositivos mnemônicos para ajudá-las a lembrar suas senhas. Por exemplo, se você usar o título do seu filme favorito para lembrar sua senha, Jornada nas Estrelas II: A Ira de Khan poderia se tornar “$t4rTr3K2:7h#[email protected]@n.”
Parece uma senha bastante segura, certo? Lamentavelmente não. Como Jeffrey Goldberg aponta em sua remoção da alegação de segurança de “milhões de anos” do LastPass, são precisamente esses tipos de senhas mnemônicas que os hackers tentarão adivinhar primeiro.
Às vezes, os usuários que não usam gerenciadores de senhas terão um esquema de senha um tanto forte para várias contas. Eles criam uma senha mais ou menos aleatória, mas mudam um ou dois caracteres dependendo do serviço. Eu sei”j$0&,81)*b?-“se volta”j$0&,81)*b?-Fb” para o Facebook e “j$0&,81)*b?-tW” para o Twitter, etc. Isso pode parecer um bom esquema, mas se apenas uma de suas senhas for hackeada usando esse método, não demorará muito para hackers inteligentes descobrirem todas as suas senhas.
Os gerenciadores de senhas são uma ótima solução para alguns
Os gerenciadores de senhas são uma ótima solução para esse problema. E, na maioria das vezes, serviços como o 1Password fornecem segurança excepcional e possuem várias camadas de proteção e redundâncias para manter seguras suas senhas geradas aleatoriamente. Vale a pena notar que o 1Password nunca sofreu uma violação de dados, muito menos uma catastrófica, como o LastPass acabou de experimentar.
Mas isso não significa que nunca o farão. E embora tenhamos 1Password em alta consideração em Críticas geeksNo mundo do crime de alta tecnologia, nada é totalmente seguro. Os atores mal-intencionados estão trabalhando tanto para derrotar essas proteções quanto os profissionais de segurança para construí-las. Há muito dinheiro e poder por aí para roubar as informações pessoais das pessoas.
E é aí que reside o problema da confiança. Muitas pessoas não gostam de gerenciadores de senhas porque não gostam que todos os seus dados residam com terceiros, não importa quão boa seja a segurança. E a violação de dados do LastPass apenas alimentará ainda mais essa desconfiança.
A autenticação de dois fatores é suficiente?
Tudo isso pode parecer acadêmico para quem usa autenticação de dois fatores (2FA) para suas contas na Internet. O 2FA adiciona uma camada extra de proteção, como enviar uma mensagem de texto ou exigir que você use um aplicativo como o Authenticator (iOS, Android) para receber um código exclusivo sempre que fizer login. Isso ajuda no caso de bandidos adivinharem sua senha. Eles pararão quando atingirem a etapa de login 2FA. Também pode servir como um sinal de alerta de que alguém está tentando acessar suas contas.
Serviços como instituições financeiras, redes sociais, empregadores e muitos outros recomendam (e em alguns casos exigem) que os usuários habilitem essa camada de proteção. E provou ser uma maneira eficaz de manter suas contas seguras.
Mas o 2FA não é infalível. É tão bom quanto o usuário que o usa. Por exemplo, os códigos 2FA estão sujeitos a ataques de phishing. Hackers inteligentes podem induzir os usuários a fornecer suas informações. Às vezes, os bandidos terão acesso ao seu telefone e poderão acessar o código 2FA dessa maneira. Em casos raros, os hackers podem até falsificar seu número de telefone para interceptar seu código 2FA. E com certeza haverá mais maneiras de subverter a proteção dos códigos 2FA, pois os hackers se tornam ainda mais adeptos do roubo de informações.
Digite as senhas
Os profissionais de tecnologia sabem sobre esses pontos fracos de senha há muito tempo. E no ano passado, gigantes da tecnologia, incluindo Apple, Google e Microsoft, prometeram introduzir uma nova medida de segurança conhecida como “senhas” para ajudar a proteger os dados de seus clientes. Seus esforços foram trabalhados por meio de uma joint venture da indústria de tecnologia conhecida como FIDO Alliance.
Uma senha é um método de autenticação armazenado localmente em seu dispositivo, como um smartphone ou laptop. Quando você cria sua chave de acesso, seu dispositivo se torna seu método de autenticação e usa dados biométricos, como scanners faciais, leitores de impressão digital, scanners de íris e reconhecimento de voz para verificar sua identidade. Isso significa que você nunca mais precisará criar ou lembrar uma senha novamente. E, pelo menos por enquanto, as chaves de acesso não são vulneráveis a métodos tradicionais de hacking, como ataques de força bruta e golpes de phishing.
Mas e se você perder seu dispositivo de autenticação? O melhor das chaves de acesso é que as empresas que as desenvolvem manterão um backup seguro da sua chave de acesso caso você precise recuperá-la. Por exemplo, a Apple fará backup de sua chave de acesso no seu iCloud Keychain e você poderá transferi-la entre dispositivos, mesmo novos, conforme necessário.
A Apple e o Google introduziram as chaves de acesso este ano. A Microsoft apresentou sua própria solução sem senha em 2021. Os serviços de tecnologia em todo o mundo estão se movendo rapidamente para implementar a tecnologia para manter seus clientes seguros. Até gerenciadores de senhas como 1Password, Dashlane e até LastPass estão adotando a tecnologia.
Portanto, agora que 2022 está chegando ao fim, é hora de deixarmos o modelo arcaico de senhas para trás e abraçar um mundo online novo e mais seguro.
[ad_2]
