Falha de segurança nos gerenciadores de senhas: Como evitá-la
Os gerenciadores de senhas são ótimos. Eles combinam segurança com conveniência, armazenando todas as suas credenciais em um só lugar, permitindo que você use senhas fortes e complexas que você não precisa lembrar.
Mas os próprios gerenciadores de senhas precisam ser super seguros. Claro, se eles são hackeados, todas as suas senhas estão lá para os atacantes verem e isso seria um desastre.
Assim, as grandes empresas de gerenciamento de senhas estarão sentindo o calor hoje, depois que um relatório do Independent Security Evaluators (ISE) encontrou falhas fundamentais que expõem as credenciais do usuário na memória do computador enquanto estão bloqueadas. De acordo com os pesquisadores, isso os torna “não mais seguros do que salvar senhas em um arquivo de texto”.
O ISE avaliou 1Password, Dashlane, KeePass e LastPass, que são usados por um total de 60 milhões de usuários e 93.000 empresas globalmente. Constatou que todos os produtos não forneceram a segurança para proteger as senhas de um usuário “como anunciado”.
O estudo analisou a funcionalidade subjacente desses produtos no Windows 10 para entender como os segredos dos usuários são armazenados mesmo quando o gerenciador de senhas está bloqueado.
Você, naturalmente, acha que o gerenciador de senhas estava seguro quando bloqueado, mas não está, de acordo com o ISE. De maneira preocupante, os pesquisadores descobriram que, em algumas circunstâncias, a senha mestra residia na memória do computador em um formato legível. E quando a senha mestra estiver disponível para o invasor, eles poderão descriptografar o banco de dados do gerenciador de senhas.
Como o ISE aponta, isso não é mais seguro do que armazená-lo em um documento ou na área de trabalho; algo que certamente não é recomendado.
“Dada a enorme base de usuários que já usam gerenciadores de senhas, essas vulnerabilidades atrairão hackers para atacar e roubar dados desses computadores por meio de ataques de malware”, diz o principal pesquisador do ISE, Adrian Bednarek.
O futuro do crime: nossas vidas digitais são hackeáveis, mas há esperança se agirmos agora
Você deve parar de usar seu gerenciador de senhas?
É bom falar sobre problemas com gerenciadores de senhas, mas o que você deve usar? Primeiro, não saia fora seu serviço ainda: mesmo o ISE recomenda que você continue usando gerenciadores de senhas, basta seguir alguns passos simples.
Crucialmente, você não deve deixar um gerenciador de senhas em execução em segundo plano, mesmo em um estado bloqueado. Enquanto isso, encerre o processo completamente se você estiver usando um dos gerenciadores de senhas afetados.
E quão sério é isso? Para este ataque valer a pena, o hacker precisaria acessar a RAM. Isso exigiria acesso físico ou acesso remoto à máquina da vítima.
Roubar senhas mestras ainda pode não ser eficaz para hackers, diz Jake Moore, especialista em segurança cibernética da ESET. Isso ocorre porque a configuração da maioria dos gerentes requer autenticação de dois fatores em qualquer dispositivo novo, que “fala” com o servidor em que as senhas armazenadas estão armazenadas.
Ao mesmo tempo, diz ele, se você usar um gerenciador de senhas em seu smartphone, ficará muito mais protegido, já que esse ataque se concentra principalmente na RAM do computador. “Além disso, se você anexar um aplicativo autenticador, como Authy ou Google Authenticator, à senha, suas contas permanecerão muito mais seguras”, ele aconselha. “Enquanto as pessoas não estiverem cometendo o pecado principal de reutilizar as senhas e puderem reconhecer os gerenciadores de senhas como uma medida de segurança em vez de uma vulnerabilidade, todos ficaremos muito mais seguros em nenhum momento”.
Emmanuel Schalit, CEO, Dashlane, um dos gerentes de senhas afetados, aponta que os resultados do ISE cobrem “um cenário teórico muito padrão no mundo da segurança”. E ele diz: “Isso não se limita ao Windows 10, mas se aplica a qualquer sistema operacional e dispositivo digital conectado à Internet”.
Schalit também faz questão de salientar que os dados armazenados pelo Dashlane no dispositivo são criptografados e não podem ser lidos por um invasor, mesmo que tenham controle total. “Isso se aplica apenas aos dados presentes na memória do dispositivo quando o Dashlane está sendo usado por uma pessoa que digitou a senha mestra.”
Schalit diz que o Dashlane está trabalhando para melhorar a longo prazo e acrescenta: “Discordamos respeitosamente da afirmação do pesquisador de que isso pode ser realmente consertado pelo Dashlane ou por qualquer outra pessoa. Depois que o sistema operacional ou o dispositivo for comprometido, o invasor terá acesso a qualquer coisa no dispositivo e não há como impedi-lo de maneira eficaz. Existem soluções que significam colocar as informações sob o tapete, mas qualquer atacante suficientemente sofisticado para controlar remotamente o dispositivo do usuário contornará essas soluções com muita facilidade”.
Então, por favor, não pare de usar seu gerenciador de senhas ainda. Apenas certifique-se de fechar o serviço completamente quando não o estiver usando e configure a autenticação de dois fatores para proteção extra.
5 dicas para reforçar a segurança de dados no Windows
A bíblia hacker – vol. 1 de 12 o maior livro hacker do mundo. Essa é a versão atualizada da bíblia hacker com 1600 páginas distribuídas em 12 volumes.
Texto: Kate O’Flaherty, ela é contributora, jornalista freelancer de segurança cibernética com mais de uma década de experiência em relatórios sobre os problemas que afetam usuários, empresas e o setor público.
Fonte: Forbes