LastPass, protegendo seus usuários contra a reutilização de senhas

Você deve ter notado nas últimas semanas que grandes marcas, como o LinkedIn e o MySpace, foram vítimas de vazamento de dados e incidentes de segurança. É uma pena que ocorrências desse porte façam com que milhões de nomes de usuários e senhas fiquem à disposição de quem quiser usá-los. E, para os invasores, o jeito mais fácil de usar essas credenciais é tentar se conectar em vários outros sites usando a mesma combinação de nome de usuário e senha.

Como muita gente tem o costume de reutilizar senhas, os invasores têm acesso rápido a contas de outros serviços em um esquema conhecido como “ataque por reutilização de senha”. O novo site “invadido” não sofreu propriamente uma falha de segurança, mas seus usuários correm perigo por usarem as mesmas senhas em vários lugares. Temos a sorte de ser um dos gerenciadores de senha mais utilizados da Internet, mas isso não significa que estamos imunes a tentativas parecidas. Considerando que a reutilização de senhas é uma conduta comum (e perigosa), fazemos tudo o que está ao nosso alcance para proteger nossos usuários, mesmo que seja necessário protegê-los contra si próprios.

Por isso, nossa equipe de engenheiros de segurança monitora ininterruptamente a Internet, em busca de nomes de usuários e senhas vazados na eventual invasão de outros sites. Sempre que descobrimos um novo vazamento, obtemos imediatamente as listas vazadas e as comparamos com a nossa própria base de usuários para ver se há correspondência com alguma conta LastPass. Caso encontremos um resultado positivo, desativamos a conta para proteger o cofre do usuário. Essa prática foi adotada há anos pela equipe LastPass em prol da proteção proativa de nossos usuários.

Quais são as etapas do nosso processo?

No caso do recente incidente envolvendo o LinkedIn, o vazamento de dados aconteceu de fato alguns anos atrás, mas a lista de usuários e senhas só vazou agora. Em resposta ao ocorrido, desativamos todas as contas dos usuários LastPass que correspondiam às credenciais vazadas. Só para deixar claro, o LastPass não sofreu nenhuma invasão ou falha de segurança; optamos por adotar essa medida para proteger os usuários que reutilizaram senhas em outros serviços online que sofreram ataques.

O LastPass tem a minha senha mestre?

Não. O LastPass nunca teve sua senha mestre. Quando senhas de outros sites vazam, o LastPass as usa em scripts para simular uma tentativa de login. Esses scripts usam o padrão de hash PBKDF2, o mesmo aplicado pelo sistema LastPass quando você se conecta à sua conta. É esse padrão que nos diz se a sua senha está correta ou não. Em seguida, comparamos o resultado dos scripts ao hash de senhas armazenadas em nosso banco de dados. Se houver correspondência, sabemos que a senha foi reutilizada na sua conta LastPass e, nesse caso, a desativamos.

O que os usuários LastPass podem fazer?

Se sua conta foi desativada, pediremos que você use uma conexão confiável para se conectar a ela a fim de verificar sua identidade e reativar sua conta. Para reativar a conta:

  1. Conecte-se pelo cofre Web https://lastpass.com/.
  2. O processo de reativação será iniciado.
  3. A partir daí, conecte-se à sua conta pela extensão no navegador ou pelo cofre Web para acessar o site de redefinição da senha mestre.

Ao se deparar com uma mensagem de que sua conta foi desativada, acesse o site https://lastpass.com para iniciar o processo de verificação. Caso você esteja em um novo local ou esteja usando um dispositivo desconhecido para se conectar, instruiremos você a fazer o login em um local (endereço IP) já utilizado ou usando um dispositivo confiável.

Depois disso, sua conta estará desbloqueada e disponível para que você altere a senha mestre para uma combinação nova e mais segura.

É altamente recomendável usar o Desafio de Segurança LastPass para avaliar as senhas guardadas no seu cofre para ver se você está reutilizando senhas entre serviços online. Conte com a ajuda do LastPass para criar senhas seguras e exclusivas. Mesmo que a senha mestre do LastPass não seja uma senha reutilizada, esse é um momento oportuno para aplicar o Desafio de Segurança para garantir que todos os seus serviços online estejam usando uma senha única.