Pages:
Author

Topic: LastPass foi hackedo (de novo) ,passwords, cartões de crédito e dados pessoais - page 2. (Read 234 times)

legendary
Activity: 2758
Merit: 6830
Que garantias é que tem, que algo semelhante ao que aconteceu ao Lastpass não aconteça também com esse serviço?
Não tenho, mas a Lastpass já foi hackeada umas 10 vezes. Tongue

Sempre tem esse risco quando o sistema é online. O importante é entender isso e usar uma senha-mestre forte.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Já usei a Keepass, mas hoje em dia uso o Bitwarden (online).

Que garantias é que tem, que algo semelhante ao que aconteceu ao Lastpass não aconteça também com esse serviço?
legendary
Activity: 2758
Merit: 6830
Quando eu li a primeira vez rápido a notícia, eu imaginei que a key roubada do funcionário tivesse dado acesso ao sistema de gerenciamento de outros clientes, mas na verdade foi acesso aos dados deles, né? Quem foi hackeado foi o prórpio LastPass, não os clientes necessariamente. Ai como tinha entendido que foi hackeado os proprios clientes, eu fiquei imaginando que eles tinham um sistema que dava acesso as senhas dos usuários,para desbloquear seus sistemas.
Como a Lastpass é um serviço de gerenciamento de senha online, eles tem todas as senhas de todos os clientes guardadas em seus servidores, porém, essas senhas estão ENCRIPTADAS com uma senha que só o cliente sabe. O cliente, então, pode descriptar o arquivo localmente no seu navegador, entendeu?

Aí o que aconteceu foi que um funcionário teve suas credenciais dos servidores da Lastpass vazadas e o hacker pegou esses arquivos encriptados. Como só o cliente sabe a senha para descriptar a sua parte dos arquivos, o hacker teria que fazer um bruteforce até encontrar a senha do arquivo de cada cliente, o descriptando e liberando o acesso às senhas.

Eu usava o Keepass, mas hoje uso o MacPass. Sabe se é pior ou algo de ruim do MacPass?
Parece que é um fork do Keepass só que no Mac. É o melhor caminho, já que você tem 100% do controle sobre o arquivo (não é guardado em um servidor de uma empresa mundo afora).

Já usei a Keepass, mas hoje em dia uso o Bitwarden (online).
legendary
Activity: 1428
Merit: 1568
Nesses casos, existe a chance de existir uma ''chave mestre'' que dê acesso ao arquivo do pessoal? E pra abrir o gerenciador, também tem uma super senha que não foi criada pelo gerenciador.
Não entendi a sua pergunta. Está questionando se tem um tipo de backdoor para que consigam acessar as suas senhas, sem ser pela super-senha que você escolheu e usa para desbloquear o gerenciador?

E seria o Keepass, o programa que você usa?

Sim e não.
Quando eu li a primeira vez rápido a notícia, eu imaginei que a key roubada do funcionário tivesse dado acesso ao sistema de gerenciamento de outros clientes, mas na verdade foi acesso aos dados deles, né? Quem foi hackeado foi o prórpio LastPass, não os clientes necessariamente. Ai como tinha entendido que foi hackeado os proprios clientes, eu fiquei imaginando que eles tinham um sistema que dava acesso as senhas dos usuários,para desbloquear seus sistemas.

Eu usava o Keepass, mas hoje uso o MacPass. Sabe se é pior ou algo de ruim do MacPass?

legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Mas gente, fiquei em dúvida aqui.

Eu uso INFINITAS VEZES por dia o gerenciador de senha. É algo que não imagino como viver sem. Mas o gerenciado de senha que eu uso, ele funciona completamente offline. Eu consigo adicionar, deletar, mover e fazer tudo que eu quiser off-line. Depois de baixar, tudo ocorre off-line. Nesses casos, existe a chance de existir uma ''chave mestre'' que dê acesso ao arquivo do pessoal? E pra abrir o gerenciador, também tem uma super senha que não foi criada pelo gerenciador.

A chave mestra é a sua master password. Todos os seus dados do se gerenciador de senha deveriam estar atrás dessa senha  , criptografados (se o seu software tiver um mínimo de qualidade).

Teoricamente, sem a senha é impossível abrir e  não existe backdoor (se tiver, o software não presta). Igual btc. Perdeu a chave, já era.

Tb acho impossível viver sem um gerenciador de senhas.
legendary
Activity: 2758
Merit: 6830
Nesses casos, existe a chance de existir uma ''chave mestre'' que dê acesso ao arquivo do pessoal? E pra abrir o gerenciador, também tem uma super senha que não foi criada pelo gerenciador.
Não entendi a sua pergunta. Está questionando se tem um tipo de backdoor para que consigam acessar as suas senhas, sem ser pela super-senha que você escolheu e usa para desbloquear o gerenciador?

E seria o Keepass, o programa que você usa?
legendary
Activity: 1428
Merit: 1568
Mas gente, fiquei em dúvida aqui.

Eu uso INFINITAS VEZES por dia o gerenciador de senha. É algo que não imagino como viver sem. Mas o gerenciado de senha que eu uso, ele funciona completamente offline. Eu consigo adicionar, deletar, mover e fazer tudo que eu quiser off-line. Depois de baixar, tudo ocorre off-line. Nesses casos, existe a chance de existir uma ''chave mestre'' que dê acesso ao arquivo do pessoal? E pra abrir o gerenciador, também tem uma super senha que não foi criada pelo gerenciador.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Pensando assim é mais fácil usar uma senha totalmente descartável e requisitar a recuperação da senha toda vez que for acessar tal serviço Cheesy

 Cheesy Cheesy

Felizmente não é algo que acontece com frequência. Só mesmo em sites que raramente visito, em que realmente já não me recordo qual foi a logica aplicada. Roll Eyes
legendary
Activity: 2688
Merit: 2297
Mas, nada que a função "recuperar senha" não resolva.

Pensando assim é mais fácil usar uma senha totalmente descartável e requisitar a recuperação da senha toda vez que for acessar tal serviço Cheesy
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
A sua logica pode ser boa joker. Contudo, vou levantar uns pontos pra você pensar.

Vamos supor que sua logica seja:
Aniversário + Nome do site + %

Daí você teria
010190Netflix%
010190Spotfity%
010190Bitcointalk%

Bem bitmover essa logica é obvia de mais, não será a mais adequada.  Roll Eyes

Mas, posso dar uma dica para essa logica:

Sites de vídeos: 010190Netflix%
Sites de musica: 900101%Spotfity
Fórum: Bitcointalk010190%
Site de comidas: 90%iFood0101

Agora a senha nunca deve ter o nome do site (isso é má logica). Evitar datas de nascimento, pelo menos completas.

Podes ter essa logica, mas não uma logica de sequencia. A logica neste caso é usar Aniversário & Nome do site & %, mas montar isso de forma diferente. E evitar que se repita 2 vezes.

Outra dica, é ir pontualmente mudar a sequencia e as passwords dos sites.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Quem usava/usa o serviço agora tem que trocar todas as senhas né?


Depende do seu nível de paranoia e de importância dos sites.

Se for algo muito sensível,  que envolvem finanças, eu trocaria.

Depende Tb da força da sua master password, teoricamente (se estiver mesmo criptografado atrás do Master password )
legendary
Activity: 2366
Merit: 1408
Quem usava/usa o serviço agora tem que trocar todas as senhas né?

Eu nunca utilizei um gerenciador de senhas pra falar a verdade, esse é um tipo de serviço que nunca tive coragem de usar, então nunca aderi a essa "facilidade".

Sites que não tem muita importância ficam salvos no google chrome mesmo, e os que tem alguma forma de pagamento e bancos eu uso senhas diferentes.
E sobre a lógica, bem, nem eu entendo minha lógica para senhas  Cheesy  Cheesy
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
É uma boa opção. O que você não pode fazer é utilizar senhas fracas e repetir as senhas entre diversos sites. É exatamente por isso que as pessoas recomendam gerenciadores de senha: ninguém consegue memorizar 50 senhas únicas, e ninguém deve repetir senhas. Tongue

Não precisa de usar sempre a mesma senha. Apenas usar uma logica e depois fazer as respetivas variações.
Como é esperado, não vou dizer qual é a minha logica. Roll Eyes


A sua logica pode ser boa joker. Contudo, vou levantar uns pontos pra você pensar.

Vamos supor que sua logica seja:
Aniversário + Nome do site + %

Daí você teria
010190Netflix%
010190Spotfity%
010190Bitcointalk%

Vc sabe que suas senhas vazam frequentemente dos sites que voce usa. Por exemplo, as senhas daqui já vazaram, da lojas americanas, etc etc...

Daí usando sua lógica, rapidamente uma pessoa vê suas senhas e descobre sua lógica. Daí o hacker relica pra outros sites e usa suas contas.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
É uma boa opção. O que você não pode fazer é utilizar senhas fracas e repetir as senhas entre diversos sites. É exatamente por isso que as pessoas recomendam gerenciadores de senha: ninguém consegue memorizar 50 senhas únicas, e ninguém deve repetir senhas. Tongue

Não precisa de usar sempre a mesma senha. Apenas usar uma logica e depois fazer as respetivas variações.
Como é esperado, não vou dizer qual é a minha logica. Roll Eyes

Claro que em sites que menos uso, as vezes fica mais complicado acertar a primeira, porque a logica aplicada vai-se ajustando conforme os tempos e as necessidades de cada site. Mas, nada que a função "recuperar senha" não resolva.


EDIT: Em sites de bancos, emails e que contem dados mais sensíveis, usa-se uma password fora dessa logica.
legendary
Activity: 2758
Merit: 6830
Não sei se são assim tão essenciais.
Prefiro usar a minha logica de senhas, para não precisar de recorrer a esse tipo de software. Até a memorização de senhas no browser uso pouco.
É uma boa opção. O que você não pode fazer é utilizar senhas fracas e repetir as senhas entre diversos sites. É exatamente por isso que as pessoas recomendam gerenciadores de senha: ninguém consegue memorizar 50 senhas únicas, e ninguém deve repetir senhas. Tongue

A Lastpass já foi hackeada diversas vezes no passado. É a pior opção do mercado, de longe.
legendary
Activity: 1722
Merit: 4711
**In BTC since 2013**
Password managers são essenciais. Acredito que os melhores  sejam keepass e bitwarden

Não sei se são assim tão essenciais.
Prefiro usar a minha logica de senhas, para não precisar de recorrer a esse tipo de software. Até a memorização de senhas no browser uso pouco.
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
O maior (é provavelmente o pior) gerenciador de senhas foi novamente hackeado (acho que é um ritual quase anual).

Dessa vez os hackers roubaram uma key de um empregado e estão com os dados e senhas de todos os usuários tentando fazer bruteforce.


Quote
https://techcrunch.com/2022/12/22/lastpass-customer-password-vaults-stolen/
Password manager giant LastPass has confirmed that cybercriminals stole its customers’ encrypted password vaults, which store its customers’ passwords and other secrets, in a data breach earlier this year.

In an updated blog post on its disclosure, LastPass CEO Karim Toubba said the intruders took a copy of a backup of customer vault data by using cloud storage keys stolen from a LastPass employee. The cache of customer password vaults is stored in a “proprietary binary format” that contains both unencrypted and encrypted vault data, but technical and security details of this proprietary format weren’t specified. The unencrypted data includes vault-stored web addresses. It’s not clear how recent the stolen backups are.

LastPass said customers’ password vaults are encrypted and can only be unlocked with the customers’ master password, which is only known to the customer. But the company warned that the cybercriminals behind the intrusion “may attempt to use brute force to guess your master password and decrypt the copies of vault data they took.”

Toubba said that the cybercriminals also took vast reams of customer data, including names, email addresses, phone numbers and some billing information

Daí penso. Olha como as cooporacoes lidam com nossos dados sensíveis. São hackeadas, perdem chaves de empregados e os hackers pegam tudo.

Password managers são essenciais. Acredito que os melhores  sejam keepass e bitwarden
Pages:
Jump to: