2017/06/01

OneLogin expõe passwords de todos os utilizadores


A utilização de um gestor de passwords é uma forma recomendada de utilizar passwords seguras sem necessidade de as memorizar, mas com isso enfrenta-se o risco de que um ataque a esse serviço possa deixar em risco todas as passwords de todos os serviços que lá guardarmos - como agora aconteceu com o OneLogin.

O OneLogin promete simplificar o processo de login em dezenas de diferentes serviços, de forma a que basta ao utilizador autenticar-se apenas no OneLogin para depois ter acesso à sua conta do Gmail, Facebook, LinkedIn, Slack, Twitter, etc. sem necessidade de se lembrar das respectivas passwords.

A ideia é boa... mas faz também com que este serviço se torne num alvo mais apetecível para hackers, e que qualquer roubo de dados se torne numa dor de cabeça ainda maior para os utilizadores - como agora aconteceu. Hackers terão conseguido roubar dados do OneLogin e, mais preocupante ainda, terão forma de os descodificar e ter acesso às passwords ou chaves de autenticação dos serviços lá guardados pelos utilizadores.

Neste tipo de coisas raramente há soluções 100% seguras (levado ao extremo, estarão sempre dependentes da conta de email utilizada no registo dos diversos serviços e através do qual um atacante poderá pedir o reset da password), mas ainda assim faço parte do grupo que continua a preferir não centralizar tudo num gestor de passwords - optando por o fazer de forma "manual" no serviço de email que utilizo e que, como indicado acima, será sempre um ponto de vulnerabilidade inevitável (e sendo assim, ao menos que seja apenas esse - obviamente usando todos os sistemas possíveis para maximizar a sua segurança, como passwords complexas e alteradas regularmente, e a obrigatória autenticação 2-factor).

Para gerar as passwords... recorro ao random.org para gerar uma dúzia delas, depois escolhendo uma e adicionando-lhe ainda mais uns caracteres para ficar descansado. :)

9 comentários:

  1. E como fazes a gestão dessas passwords que nao são faceis de memorizar?
    Continuo a preferir o método de gerar um string complexa mas que seja facil de memorizar e ir adicionando uma outra parte a cada site/serviço.

    ResponderEliminar
    Respostas
    1. É uma boa questão Alex... Tambem gostava de saber como fazer =/

      Eliminar
    2. Ficam guardadas no email (por exemplo, envias de ti para ti, ou manténs num "draft"). Quem tiver acesso ao email para as espreitar lá também teria acesso ao processo de recuperação de password... pelo que o risco acaba por ser o mesmo.

      Em caso de serviços de acesso pouco frequente por vezes nem me dou ao trabalho de guardar, optando por fazer recuperação da pass de cada vez que quiser aceder.

      Eliminar
  2. Uso o Lastpass e estou satisfeito mas também há boas opções locais, para quem usa muito o mesmo PC.

    ResponderEliminar
  3. Neste momento faço a gestão com um ficheiro de texto numa unidade usb encriptada com VeraCrypt (TrueCrypt). Funciona mas não é muito prático.
    Ando a ver se encontro uma solução por hardware que não seja muito cara.

    ResponderEliminar
  4. Pessoalmente prefiro criar um algoritmo mental. Algo como uma base fixa e depois um algoritmo sobre o nome do servico em si.
    Por exemplo no gmail poderia ser uma base fixa (ex:Abc123) + o nome do servico sem o primeiro e ultimo caracter.
    Exemplo para o gmail: Abc123+mai

    ResponderEliminar
  5. Como gestor de passwords local, podem experimentar o Enpass.
    Não se paga nada, tem extensões para Chrome\Firefox\etc, as passwords ficam no pc, gere passwords pronunciaveis ou não, por exemplo:
    maori-parke-toss-vest
    fest-slay-cooky-worst

    ResponderEliminar
  6. Uso KeePass com 3 níveis de segurança mentais. Em alguns casos tenho parte da password tendo que introduzir mais 2 ou 3 caracteres; noutros casos tenho caracteres a mais tendo que os retirar. Um código no título da entrada permite-me saber que método aplicar.

    ResponderEliminar

[pub]