A notícia de que a segurança da rede LastPass foi comprometida é, obviamente, um problema sério. O fato de a empresa violada fornecer um serviço de gerenciamento de senhas aumenta a seriedade em um degrau - ou dez. Então, por que eu, alguém que construiu uma carreira escrevendo sobre segurança de TI, não estou puxando meu cabelo por causa disso? Muito além do fato de que eu não tenho nada para resolver, a violação do LastPass não é um grande problema para alguns de nós como é para outros.
Não encontramos evidências de que dados criptografados do cofre do usuário foram obtidos, nem de que contas de usuário do LastPass foram acessadas, informou um porta-voz do LastPass. Então, por que tanto barulho, você pode perguntar - onde está o risco? Bem, é duplo, a meu ver. Em primeiro lugar, como os endereços de e-mail e os lembretes de senha associados foram comprometidos, espero ver tentativas de phishing direcionadas na forma de mensagens falsas de redefinição de senha mestra. Eu gostaria de pensar que não me apaixonaria por eles.
não consigo fazer upload de arquivos para o Google Drive
Quanto ao segundo risco, as senhas mestras fracas estarão atualmente sujeitas a tentativas de cracking de força bruta, cortesia dos sais por usuário do servidor e hashes de autenticação acessados. No que diz respeito a essas tentativas de cracking, o fato de que o LastPass fortalece esses hashes de autenticação com um salt aleatório e adiciona 100.000 rodadas adicionais de PBKDF2-SHA256 do lado do servidor para garantir que seja mais difícil quebrá-los. No entanto, se a senha mestra for ruim, ela ainda estará aberta a ataques de força bruta; só vai demorar um pouco mais para quebrá-lo.
Portanto, o LastPass está forçando uma mudança de senha mestra na maioria dos usuários e pedindo a verificação de e-mail daqueles que se conectam a partir de um novo dispositivo ou endereço IP. Não vou, no entanto, mudar minha senha mestra, nem tenho (vamos dar uma olhada) por 442 dias agora porque é aleatório, é complexo, tem mais de 25 caracteres, não é usado em nenhum outro lugar, e eu posso lembrar de cor. Além disso, é apoiado pelas seguintes duas palavras mágicas: autenticação multifator.
Estrondo! No que me diz respeito, todo esse esforço para entrar na periferia da rede LastPass é em vão porque eu uso uma senha mestra forte com backup por autenticação multifator. Mesmo que minha senha mestra tenha sido comprometida de alguma forma, o invasor terá que acessar minha YubiKey (um token físico) para descriptografar meu cofre de senha. Essas configurações avançadas são gratuitas e estão disponíveis aos usuários há algum tempo - além disso, você não precisa comprar uma YubiKey; você pode usar um aplicativo de download gratuito como o Google Authenticator, se desejar. Por que você não usaria a autenticação de dois fatores (2FA) em qualquer site ou serviço onde ela é oferecida? Não, sério?
Falando em configurações avançadas, há outra que eu uso que me fornece mais uma camada de confiança em meus dados estarem razoavelmente seguros com o LastPass, que é um bloqueio de acesso geográfico. Você pode definir restrições de país que permitem decidir os países de onde seu cofre de senhas pode ser acessado. Eu mantenho isso bloqueado para o Reino Unido, a menos que esteja viajando para o exterior, caso em que habilito esse local específico antes de partir. Ah, e eu também não permito logins de redes Tor. Paranóico, moi? Não, apenas sensato em restringir o acesso a essas chaves do reino. Como você também deveria estar.
O que mais me preocupa sobre o compromisso do LastPass não é, por incrível que pareça, o compromisso em si, mas a resposta a ele; e principalmente a da mídia - tanto profissional quanto social. Parece haver um sentimento subjacente de prazer em chutar o LastPass, e muitos já disseram a você que tipo de reportagem. Mas o que exatamente você nos disse? O que exatamente aconteceu aqui? Nenhum dado de senha criptografado foi comprometido, até onde podemos ver, e o LastPass foi bastante transparente ao divulgar o evento e implementar medidas para garantir ainda mais a confiança do usuário.
O que os opositores da mídia querem que façamos? Reverter para caneta e papel ou talvez uma solução mais técnica para criptografar você mesmo? Eu já vi ambos sugeridos, e nenhum deles reduz o risco para o Joe médio, apenas o oposto, na verdade. Talvez mude para um provedor de gerenciamento de senha diferente? Novamente, como isso ajuda quando você não sabe como eles responderiam quando - não se - eles sofressem uma violação? Pelo menos você sabe que o LastPass está pronto para responder a uma violação.
Para mim, um gerenciador de senhas continua sendo a opção mais segura para a maioria das pessoas, e se você seguir minha orientação e combinar uma senha mestra forte com autenticação multifator e algumas opções de bloqueio de login, você reduz o risco de comprometimento tanto quanto for humanamente possível.
E é por isso, caro leitor, que não preciso alterar minha senha mestra; ou meu gerenciador de senhas para esse assunto.