Os protetores de senha são seguros? Lista de todas as principais violações

Se você passa algum tempo na Internet (e quem não tem hoje em dia?), Provavelmente tem muitas senhas.


Você precisa de uma senha sempre que fizer login em suas contas de mídia social, verificar o saldo da sua conta bancária ou pedir algo à Amazon. Se você pertence a algum fórum, administra um site ou simplesmente escreve um blog, você tem ainda mais senhas.

necessidade de senhaÉ tentador usar a mesma senha para cada um desses sites. Afinal, você provavelmente precisará entrar em dezenas de sites, se não centenas, durante o ano normal. Se você tivesse uma senha forte e exclusiva para cada um desses sites, como você poderia se lembrar de todos eles?

Infelizmente, muitas pessoas seguem o caminho mais fácil. Eles usam uma senha bastante óbvia, diga "Senha123,”, Por exemplo, e use-o para todas as atividades online. Por que essa é uma ideia tão terrível? Porque se um hacker conseguir obter sua senha em uma única conta, ele terá sua senha para todas as suas contas.

Talvez você não pense que isso é um grande problema se uma parte nefasta conseguir fazer login no seu perfil do Facebook, embora possa causar estragos se isso ocorrer. No entanto, se essa senha lhes der acesso às suas informações bancárias, números de cartão de crédito, Número do SocialSecurity ou qualquer outra coisa, você certamente se importará.

Por que senhas fortes são críticas

Nos últimos anos, muitos sites começaram a instituir requisitos para senhas cada vez mais longas e complexas. É doloroso para o usuário inventar e lembrar essas senhas, mas há boas razões para fazê-lo..

senha forteQuanto mais complexas e aleatórias forem suas senhas, mais difíceis serão para os hackers discernirem. Agora, imagine que você tinha dezenas dessas senhas, uma para cada um dos sites que você frequenta. Esses hackers não vão tão longe quando precisam descobrir uma cadeia completamente aleatória de 12 ou mais letras, números e caracteres especiais. Os problemas só são multiplicados pelo uso de senhas exclusivas em todas as suas contas online.

Esse tipo de senha é essencial para sua segurança online. Depois que um hacker descobrir sua senha muito simples, ele poderá usá-la ou vendê-la com muito dinheiro no mercado negro. Alguns desses compradores são incrivelmente sofisticados. Em questão de minutos, sua identidade é roubada, seu rating de crédito é destruído e você gasta anos e muito dinheiro tentando recuperar sua reputação.

De acordo com a MIT Technology Review, criar uma senha realmente forte é mais do que usar uma letra maiúscula, um número e um caractere especial. Quanto mais tempo você criar sua senha, e quanto mais caracteres especiais ela usar, maior a probabilidade de você roubar hackers.

Os hackers têm um software que executa contínua e incansavelmente as "suposições" das senhas. Cedo ou tarde, elas podem se prender às suas. No entanto, se sua senha for longa, complexa e totalmente aleatória, então é provável que o hacker procure presas muito mais fáceis, que está disponível em abundância.

O que é um gerenciador de senhas?

O problema é que lembrar todas essas senhas incrivelmente longas, complicadas e exclusivas é uma tarefa hercúlea. Quem pode mantê-los todos em ordem? É aí que entram os gerenciadores de senhas.

como o gerenciador de senhas funcionaA maioria dos gerenciadores de senhas é projetada para gerar inúmeras senhas fortes e aleatórias para usuários individuais. Eles armazenam essas senhas e as recuperam quando você visita cada site.

Também é possível que esses serviços armazenem seus números de cartão de crédito, incluindo o código CVV de três dígitos na parte traseira, juntamente com PINs e suas respostas a várias perguntas de segurança. Todos esses dados são criptografados em uma tentativa de frustrar os hackers. Muitos desses serviços usam hash, que é essencialmente responsável pela conversão de dados simples em sequências de números ou caracteres com um comprimento predeterminado.

Sempre que você quiser visitar um site em que precisará usar uma de suas senhas, efetue login no “cofre” de dados que você armazenou anteriormente com seu gerenciador de senhas. O acesso é concedido por meio de uma única senha para o serviço de gerente.

Isso parece bastante conveniente, mas é fundamental que você não confie demais nos gerenciadores de senhas. Esses serviços não são uma bala mágica que o protegerá de todos os danos. Ainda é aconselhável usar uma VPN como NordVPN para toda a navegação, autenticação de dois fatores para determinadas contas extremamente valiosas e usar apenas dispositivos nos quais você confia.

Na verdade, é aconselhável renunciar ao uso de um gerenciador de senhas.

Por que os gerenciadores de senhas podem ser arriscados

Os gerenciadores de senhas armazenam todos os seus dados confidenciais localmente ou em uma nuvem. Assim, suas senhas estão em um cofre em uma unidade de armazenamento ou computador em sua casa ou são mantidas remotamente nos servidores do gerenciador de senhas.

Grandes nomes do setor gostar Dashlane1Password Última passagem use seus servidores para armazenar suas informações privadas por padrão. Isso torna mais conveniente sincronizar todos os dados armazenados que você possa ter com todos os seus dispositivos.

hackers de senhaAgora, essas empresas fazem muitas promessas sobre suas medidas de segurança, mas isso não deixa todos os consumidores à vontade. Imagine se todos esses dados incrivelmente valiosos nesse servidor único fossem comprometidos por um hack. Como você colocou todos os seus ovos em uma cesta, acabou de perder o controle da sua vida on-line.

A realidade é que poucos hackers podem resistir à tentação de superar os avançados sistemas de segurança. Pense em todos os dados inestimáveis ​​que eles poderiam reunir com apenas um hack. Às vezes, a consolidação não é uma manobra sábia.

Se você realmente não gosta do pensamento de armazenamento em nuvem para todas as suas senhas, talvez possa optar pelo armazenamento local. Dashlane torna isso possível quando os clientes optam por desativar o recurso "Sincronizar".

O 1Password permite que os clientes comprem uma licença de software que lhes dá controle sobre onde o cofre é mantido. O KeePass permite armazenar seus dados em um cofre criptografado em seu próprio dispositivo.

No entanto, antes de pular com os dois pés nessas opções, pergunte-se o quão seguras são suas próprias medidas de segurança eletrônica? É possível que um hacker passe por eles para obter todas as suas senhas do seu próprio dispositivo?

Violações de segurança que você precisa conhecer

As violações de segurança listadas não são teóricas. Muitos deles aconteceram. Antes de decidir se o uso de um gerenciador de senhas faz sentido ou não, leve em consideração essas violações.

A violação no OneLogin

O gerenciador de senhas OneLogin revelou em junho de 2017 que havia sofrido um hack. O incidente amplamente divulgado afetou todos os clientes da empresa cujos dados foram armazenados no centro de dados dos EUA.

Em um comunicado à imprensa, a OneLogin escreveu que: "Desde então, bloqueamos esse acesso não autorizado, relatamos o assunto à polícia e estamos trabalhando com uma empresa de segurança independente para determinar como o acesso não autorizado aconteceu".

LastPass relata uma violação

Outro truque bastante infame do gerenciador de senhas ocorreu no LastPass. Isso foi relatado em abril de 2017 e a empresa o descreveu como um problema "único e altamente sofisticado". A implicação é que o LastPass usa técnicas avançadas de criptografia e medidas de segurança que a situação é praticamente impensável e não poderia ocorrer novamente.

O problema foi identificado por Tavis Ormandy, pesquisador de segurança do Project Zero do Google. Ormandy descreveu a questão como sendo "arquitetônica" por natureza, passando a dizer que exigiria um tempo significativo para resolver.

Enquanto o LastPass trabalhava para corrigir a vulnerabilidade, eles recomendavam que os clientes usassem autenticação de dois fatores e para evitar todos os links suspeitos.

No entanto, essa não é a única ocorrência que o LastPass sofreu. Em junho de 2015, a empresa anunciou que seus servidores haviam sofrido uma invasão. O LastPass informou que nenhuma senha armazenada foi roubada e que o hackers não usaram endereços de email, lembretes de senha ou hashes de autenticação.

KeePass é hackeado - mais ou menos

A disponibilidade de uma ferramenta apelidada de "KeeFarce" em 2015 fez as coisas parecerem perigosas para o KeePass. Embora essa ferramenta hacker tenha sido direcionada ao KeePass, é possível que a ferramenta possa ser modificada para segmentar qualquer gerenciador de senhas.

Essencialmente, essa ferramenta foi projetada para atingir os computadores dos usuários, que geralmente não têm os recursos de segurança robustos usados ​​pelos gerenciadores de senhas. A ferramenta foi capaz de descriptografar todos os nomes de usuário e senhas que o usuário havia armazenado com o KeePass. Todos os dados foram gravados em um arquivo que o hacker poderia acessar.

Essa ferramenta foi projetada para destacar um problema que todos os gerenciadores de senhas têm. Um computador infectado é um computador vulnerável. Não importa o quão bom seja um gerenciador de senhas quando o computador do usuário estiver infectado por um vírus ou outro problema, a proteção oferecida pelo gerente estará comprometida. Você precisa reforçar sua própria segurança para ter alguma esperança de se beneficiar de um gerenciador de senhas.

Guardião pega um erro

detecção de bugsEm maio de 2018, o Keeper anunciou que havia corrigido um bug identificado por um pesquisador de segurança. O pesquisador disse que o bug pode ter permitido que pessoas não autorizadas acessem os dados privados pertencentes a outro usuário.

O bug foi trazido à luz por meio de uma lista de divulgação para segurança pública. Essencialmente, a listagem dizia que qualquer pessoa que controlasse o servidor de API da empresa poderia teoricamente acessar a chave de descriptografia no cofre de senhas pertencentes a qualquer usuário. A origem do problema estava no Keeper Commander, um script desenvolvido em Python que permite que os usuários alternem senhas.

O bug do goleiro foi eliminado desde então.

As descobertas do TeamSIK

Em fevereiro de 2017, pesquisadores do Instituto Fraunhofer de Tecnologia da Informação Segura divulgaram suas descobertas após uma análise dos nove gerenciadores de senhas mais usados. Os resultados foram tudo menos tranquilizadores.

team sik logoOs pesquisadores, conhecidos como TeamSIK, consideraram suas descobertas "extremamente preocupantes". Eles até afirmaram que essas empresas "abusam da confiança dos usuários e as expõem a riscos elevados".

Os gerenciadores de senhas incluídos na revisão foram 1Password, Avast Senhas, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager e Minhas Senhas.

Cada gerente na revisão tinha pelo menos uma falha de segurança. Os pesquisadores informaram cada uma das empresas de suas descobertas, e os problemas mais comuns foram rapidamente abordados. Ainda assim, não parece que cada empresa deveria ter percebido e corrigido esses problemas sem precisar de uma fonte externa para convencê-los a agir?

No rescaldo, os usuários foram incentivados a garantir que foram corrigidos e usando as versões mais recentes do software gerenciador de senhas para que eles recebessem todos os benefícios das medidas de segurança atualizadas.

Abaixo estão alguns dos detalhes / relatórios específicos. Para detalhes específicos, abra cada relatório.

MyPasswords 

  • Ler dados privados do aplicativo Minhas senhas
  • Descriptografia de senha mestra do aplicativo Minhas senhas
  • Recursos Premium gratuitos Desbloqueie para Minhas Senhas

Informaticore Password Manager 

  • Armazenamento de credenciais inseguros no Mirsoft Password Manager

Gerenciador de Senhas LastPass 

  • Chave mestra codificada no LastPass Password Manager
  • Privacidade, vazamento de dados na pesquisa do navegador LastPass
  • Ler data privada (senha mestre armazenada) no LastPass Password Manager

Keeper Passwort-Manager 

  • Desvio da pergunta de segurança do Keeper Password Manager
  • Injeção de dados do Keeper Password Manager sem senha mestra

Gerenciador de Senhas F-Secure KEY 

  • Armazenamento de credenciais inseguras do F-Secure KEY Password Manager

Dashlane Password Manager 

  • Ler dados privados da pasta do aplicativo no Dashlane Password Manager
  • Vazamento de informações da Pesquisa do Google no navegador Dashlane Password Manager
  • Ataque de resíduos que extrai a senha mestre do Dashlane Password Manager
  • Vazamento de senha de subdomínio no navegador do Dashlane Password Manager interno

Ocultar fotos Mantenha o cofre seguro 

  • Armazenamento de senha de texto sem formatação SKeepsafe

Senhas Avast 

  • Roubo de senha de aplicativo do Avast Password Manager
  • Roubo de senha por site falsificado do Avast Password Manager
  • URLs padrão inseguros para sites populares no Avast Password Manager
  • Vazamento de senha de subdomínio no Avast Password Manager
  • Implementação de comunicação segura interrompida no Avast Password Manager
  • URLs de teste interno no Avast Password Manager

1Password - Gerenciador de Senhas 

  • Vazamento de senha de subdomínio no navegador interno 1Password
  • Https com downgrade para URL http por padrão no 1Password Internal Browser
  • Títulos e URLs não criptografados no banco de dados 1Password
  • Ler dados privados da pasta do aplicativo no 1Password Manager
  • Problema de privacidade, informações vazadas para o fornecedor 1

Tipos de violações de segurança

A realidade é que todos os principais gerenciadores de senhas tiveram sérias violações de segurança uma vez ou outra. Mesmo que corrigam os problemas à medida que são descobertos, parece que novos esquemas estão sempre em andamento. Estas são algumas das violações de segurança às quais os gerenciadores de senhas são vulneráveis.

Phishing - A maioria das pessoas já ouviu falar sobre esquemas de phishing. Elas envolvem um email ou mensagem de texto que supostamente é enviada por uma entidade ou indivíduo respeitável. O objetivo é fazer com que uma vítima inocente revele dados confidenciais, como números de contas bancárias, números de cartão de crédito e números de seguridade social, com o objetivo de fraudar o destinatário.

fluxo de ataque de phishing

O phishing foi usado para fraudar os clientes do gerenciador de senhas. Nesse esquema, os clientes são solicitados a fazer login em um site devido a uma sessão expirada. Quando o fazem, um site de phishing confusa é o local em que eles estão inserindo seus dados privados. O usuário acabou de oferecer voluntariamente sua senha secreta a um hacker.

Falsificação de solicitação entre sites - Frequentemente chamado de CSRF, esse esquema leva as pessoas a tomar ações não intencionais online. É empregado em usuários autenticados em um aplicativo da web. A parte nefasta geralmente envia um link por e-mail para induzir a vítima a transferir fundos ou tomar outras ações potencialmente prejudiciais.

Script entre sites - Familiarmente conhecido como XSS, esse ataque envolve a introdução de código malicioso em sites conhecidos e confiáveis..

Ataques de força bruta - Essa violação de segurança envolve software automatizado que tenta várias combinações até atingir uma mina de ouro de dados, como o servidor do seu gerenciador de senhas.

senha de preenchimento automáticoVulnerabilidade de recurso de preenchimento automático - O uso do recurso de preenchimento automático no navegador da web ou no gerenciador de senhas é tentador porque parece facilitar tudo muito mais.. Na realidade, você só está facilitando as coisas para seus cibercriminosos em todo o mundo. Está até sendo usado por anunciantes.

Armazenando a senha mestra em texto sem formatação - Comprovando que os gerenciadores de senhas não são necessariamente os melhores guardiões dos seus dados confidenciais, um projeto de pesquisa descobriu o fato de que alguns gerenciadores de senhas estavam armazenando as senhas mestras do cliente em texto sem formatação, sem criptografia alguma.

Código do aplicativo que contém chaves de criptografia - Em essência, o código do aplicativo expõe chaves de criptografia dentro do próprio código. É um dia de campo para hackers quando essa vulnerabilidade é descoberta.

Área de transferência cheirando ou seqüestro - Essa violação permite que criminosos obtenham credenciais que foram copiadas na memória do PC para que possam ser coladas em uma interface para entrada de senha.

Falhas internas do navegador da Web - Alguns gerenciadores de senhas também são navegadores, cujo uso deve manter os clientes mais seguros online. No entanto, com um gerenciador de senhas imperfeito - o que todos são, a possibilidade de falhas é multiplicada.

Ataque de resíduos de dados - Os usuários que excluem aplicativos de seus dispositivos não necessariamente removem todos os vestígios. Alguns hackers atacam o "resíduo" que fica para trás. Apenas medidas de segurança realmente sólidas impedem os criminosos.

ataques cibernéticos por insidersInsider Hacking - Não presuma que você está seguro apenas porque está usando um computador da empresa. Alguns hacks são um trabalho interno realizado por um colega. Isso é verdade nos escritórios dos gerenciadores de senhas. Como você sabe que pode confiar nos funcionários do seu provedor?

Vazamentos de informações através da memória de troca - A maioria dos computadores possui memória principal e armazenamento secundário. Cada processo que o computador executa obtém a quantidade de memória necessária. Os processos ativos são armazenados na memória principal. Os processos inativos são enviados para o armazenamento secundário. Quando um processo específico começa a consumir toneladas de memória, mais itens são enviados para o armazenamento secundário. O desempenho do sistema se deteriora e encerrar o processo de vazamento pode não significar que os processos que foram enviados para o armazenamento secundário sejam trocados imediatamente. Tudo o que foi terceirizado para o armazenamento secundário pode estar vulnerável a ataques.

O que o futuro guarda?

Como observado, os nove gerenciadores de senhas mais conhecidos já corrigiram todos esses problemas. No entanto, que outros problemas podem estar ocultos? Algumas das vulnerabilidades descobertas pelo TeamSIK deveriam ter sido bastante óbvias, mas nenhuma dessas empresas estava ciente delas. Foi necessário um terceiro independente para descobrir esses problemas e trazê-los à luz. Você pode realmente confiar em um gerenciador de senhas com seus dados mais confidenciais?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me