Blog
Últimas notícias
bg
LastPass Labs

A LastPass está atualizando as contas. Confira o porquê.

Mike KosakJanuary 03, 2024
A LastPass está atualizando as contas. Confira o porquê.
Você deve ter notado que temos solicitado aos nossos clientes que façam algumas alterações em suas contas do LastPass. Essas alterações incluem exigir que os clientes atualizem o tamanho e a complexidade de suas senhas mestres para atender às boas práticas recomendadas, solicitar que eles registrem novamente a autenticação multifator (MFA), entre outras. Todas essas alterações têm o objetivo de ajudar a deixar nossos clientes mais seguros, e queremos compartilhar um contexto adicional sobre o ambiente de ameaças cibernéticas em evolução que está motivando essas solicitações, para que os clientes possam entender melhor POR QUE essas alterações são importantes. Para isso, vamos abordar algumas dessas alterações recentes e explicar quais são as ameaças motivadoras e como essas atualizações foram desenvolvidas para ajudar. Atualização dos requisitos para senhas mestres Por que estamos fazendo isso? Quando falamos de resiliência e segurança de senhas, a máxima "quanto mais, melhor" faz todo sentido. Mas isso é só o começo. A força da senha é uma noção complexa que é embasada em vários fatores, incluindo comprimento, complexidade e imprevisibilidade. As diretrizes atuais do Instituto Nacional de Padrões e Tecnologia (NIST) exigem que as senhas geradas por humanos tenham pelo menos 8 caracteres (NIST 800-3B), mas, devido aos recentes avanços na tecnologia e nas técnicas de quebra de senhas/força bruta e à tendência humana natural de criar senhas previsíveis e fáceis de lembrar, recomenda-se uma senha ainda mais longa. A nova exigência de comprimento de senha mestre do LastPass é apenas uma parte de um conjunto gradual de iniciativas criadas para ajudar nossos clientes a se proteger melhor das ameaças cibernéticas atuais e emergentes. Historicamente, embora uma senha mestre de 12 caracteres fosse a configuração padrão do LastPass desde 2018, os clientes ainda tinham a possibilidade de renunciar às configurações padrão recomendadas e optar por criar uma senha mestre com menos caracteres, se assim o desejassem. Agora, ao colocar em vigor um requisito mínimo de senha mestre de 12 caracteres, além dos aumentos de iteração PBKDF2 que fornecemos no início do ano, estamos ajudando proativamente nossos clientes a criar chaves de criptografia mais fortes e mais resilientes para acessar e criptografar dados do cofre do LastPass. Detalhes sobre as novas exigências Desde abril de 2023, todos os novos clientes da LastPass, e todos os clientes existentes que tomaram medidas para redefinir suas senhas mestres, são obrigados a criar ou atualizar suas senhas mestres para um mínimo de 12 caracteres. A partir de janeiro de 2024, a LastPass colocará em vigor uma exigência para que todos os clientes usem uma senha mestre com pelo menos 12 caracteres. O aumento para um mínimo de 12 caracteres exige que os clientes primeiro façam login na conta do LastPass para confirmar um dos dois cenários possíveis:
  • Para aqueles que confirmarem que já têm uma senha mestre com 12 ou mais caracteres, nenhuma ação será necessária, pois eles já estão em conformidade com a nova política.
  • Já os que ainda não estiverem em conformidade com a nova política serão solicitados a criar uma nova senha mestre com 12 ou mais caracteres.
Os clientes que precisarão atualizar a senha mestre podem conferir aqui uma lista de práticas recomendadas a serem consideradas:
  • Use um mínimo de 12 caracteres, mas recomenda-se o uso de caracteres adicionais,
  • Use letras maiúsculas, minúsculas, números e caracteres especiais (pelo menos um de cada),
  • Crie uma senha fácil de lembrar, mas que seja difícil de ser adivinhada (como uma frase-senha),
  • Certifique-se de que ela seja única, somente para você,
  • Não use seu endereço de e-mail como sua senha mestre,
  • Não use informações pessoais em sua senha mestre,
  • Não use caracteres sequenciais (por exemplo, "1234") nem caracteres repetidos (por exemplo, "aaaa"),
  • Lembre-se de não reutilizar a senha mestre em nenhuma outra conta ou aplicativo.
Por que ainda não recebi uma solicitação para alterar minha senha mestre? Essa política será implementada gradualmente para nossa base de clientes, com o envio de notificações por e-mail primeiro para nossos clientes Free, Premium e Families, depois para nossos clientes Teams e Business no final de janeiro de 2024. Para tornar o processo mais conveniente para nossos usuários, o LastPass permite que os clientes escolham quando vão receber outra solicitação entre logins para alterar a senha mestre e, devido a essas configurações de login personalizadas, não podemos estimar quanto tempo essa iniciativa levará para atingir 100% de adoção em toda a nossa base de clientes. Configure a recuperação de conta antes de alterar a senha mestre Como alterar a senha mestre Verificação cruzada de novas senhas mestres na dark web No próximo mês, a LastPass também iniciará verificações imediatas de senhas mestres novas ou redefinidas em um banco de dados de credenciais vazadas conhecidas para garantir que a senha não tenha sido exposta anteriormente na dark web. Se a senha for detectada em uma violação anterior, um pop-up de "Aviso de segurança" alertará o cliente de que a senha já foi exposta e, nesse caso, ele deverá escolher outra senha para prosseguir. Por que estamos fazendo isso?  Essa é fácil: senhas expostas são fáceis de serem decifradas. Os crackers de senhas modernos podem assimilar listas de senhas conhecidas como parte de seu conjunto de dados, o que reduz drasticamente o tempo necessário para descobrir as credenciais de uma conta. Exigir que nossos clientes escolham uma senha que ainda não tenha sido exposta dificulta muito mais essa descoberta. O que é o monitoramento da dark web? Como ativar o monitoramento da dark web no LastPass Novo registro da autenticação multifator (MFA) Em maio de 2023, a LastPass deu início a esforços para simplificar o novo registro da MFA para clientes empresariais não federados que usam autenticadores comuns, como o Microsoft Authenticator, o Google Authenticator ou o LastPass Authenticator. O novo registro para autenticação Grid chegará em breve, e os clientes terão a opção de se registrar novamente na Microsoft ou no Google. Por que estamos fazendo isso?  Como mencionado anteriormente em nossas comunicações sobre o incidente de segurança de março de 2023, a redefinição da MFA é necessária, pois essa ação reduz de forma eficaz o risco remanescente decorrente da exposição do backup do banco de dados de MFA/Federação do LastPass. Se ainda não tiver feito, inicie um novo registro manual da MFA para clientes não federados. Consulte as instruções detalhadas para fazê-lo em nosso Boletim de Segurança. Para encerrar Resumindo, essas alterações estão sendo implementadas em resposta ao ambiente de ameaças cibernéticas em constante mudança e com o objetivo de deixar nossos clientes mais seguros. A LastPass não pedirá que você tome medidas ou faça alterações sem um propósito definido, e sempre nos esforçaremos para garantir a transparência quanto a esse propósito. Acompanhe as postagens do LastPass Labs no blog para obter atualizações sobre futuras alterações e as últimas notícias sobre as ameaças enfrentadas pelos métodos de autenticação, nosso setor e nossos clientes.