2014/07/15

Gestores de Passwords podem colocar passwords em risco

A questão das passwords parece ser algo que não pára de dar chatices, e agora confirmam-se os piores receios de que alguns já poderiam suspeitar: usar alguns programas de gestão de passwords pode acabar por ser um risco que expõe todas as vossas passwords.

Há mil e uma recomendações quanto à "melhor" forma para lidar com as passwords. Há quem use uma passwords para todos os serviços (não será o caso de nenhum de vocês, espero!); há quem use algumas passwords pré-seleccionadas consoante o nível de importância que dá a uma serviço (uma para coisas "sem interesse"; outra para coisas mais importantes; outra ainda para coisas "críticas"); há quem use mnemónicas para criar passwords (por exemplo, nome do site ao contrário seguido de uma password base); e há quem opte por usar programas de gestão de passwords, com passwords seguras geradas aleatoriamente.

É precisamente para estes últimos que serve este alerta, pois alguns destes serviços têm vulnerabilidades que permitem que um site malicioso possa ter acesso a todas as suas passwords.

Serviços como o LastPass, PasswordBox, RoboForm, My1login, e NeedMyPassword, todos eles tinham um ou outro tipo de vulnerabilidades preocupantes; sendo que entretanto a maioria deles já as corrigiu - excepto o NeedMyPassword, que nem sequer respondeu aos investigadores que descobriram estas falhas; pelo que se usam este, será melhor reconsiderarem a mudança para outro lado.

Claro que não será por isto que deverão abandonar programas e serviços de gestão de passwords. Será muito pior usarem passwords fáceis, ou repetir passwords. No entanto convém estarem conscientes que ao colocarem todas as passwords num único serviço, torna-se muito mais crítico garantir a segurança do mesmo. E que vulnerabilidades como estas - que felizmente parecem não ter sido exploradas por atacantes - poderão resultar numa "catástrofe digital".

Se não quiserem depender neste tipo de serviços e não se importarem de um pouco de trabalho extra, podem sempre fazer como eu: usando palavra chave completamente aleatórias inventadas a martelar no teclado (com letras, simbolos, números, etc). E da próxima vez que tiver que aceder ao serviço... fazer recuperar password! :) Assim, só preciso de memorizar uma única password "segura"... a que uso para aceder ao email (e com 2-step validation para dificultar ainda mais a coisa a qualquer potencial atacante).

3 comentários:

  1. Esta é uma conclusão lógica e de fácil dedução. Não utilizo nem me parece que venha a utilizar um programa deste tipo.

    ResponderEliminar
  2. Pode-se usar um programa offline que permita gerir as passwords. Online... Nem pensar.

    ResponderEliminar
  3. Primeiro assustei-me com o título do post, mas depois fiquei mais descansado ao não ver o KeePass mencionado

    ResponderEliminar