2019/09/16

O hacker das passwords esquecidas das criptomoedas


Falar de hackers e criptomoedas na mesma frase é algo que poderia fazer pensar numa má notícia - a não ser quando se descobre que afinal se trata de alguém que se esqueceu da sua password e requisita os seus serviços.

A mesma segurança que tenta evitar que as criptomoedas caiam nas mãos de hackers maliciosos pode também tornar-se numa grande dor de cabeça para os utilizadores legítimos. Quem se esquecer da sua password pode ficar impedido de aceder a todas as suas criptomoedas, e arrisco-me a dizer que é ainda pior saber que temos o nosso dinheiro "ali" à distância de um login, do que perder dinheiro na rua e assumirmos desde logo que nunca mais o iremos ver. Mas no caso das criptomoedas, por vezes há esperança...

Phil Dougherty é um hacker que, nos seus tempos livres, se tem dedicado a ajudar pessoas que se esqueceram da sua password de acesso ao Ethereum. Uma tarefa que iniciou há vários anos e que já levou à criação do expandpass, uma ferramenta que complementa o hashcat de descoberta de passwords, e que facilita o processo de tentar descobrir uma password com base em coisas que o utilizador ainda se lembre: por exemplo, de que a password continha determinadas palavras, ou que tinha números no início ou fim, etc. Todos os pormenores ajudam a reduzir drasticamente a potencial solução, que mesmo assim poderá demorar semanas ou meses a descobrir... ou nunca, no caso de não haver pistas que ajudem a acelerar o processo.

Este mesmo problema que se coloca no caso de esquecimento da password também se verifica de forma indirecta em caso de acidentes ou falecimentos, que pode deixar os outros membros da família impossibilitados de aceder às criptomoedas. Torna-se por isso altamente recomendável pensar em maneiras de deixar essa informação acessível, mas ainda assim segura, para evitar a necessidade de recorrer a hackers para aceder ao que é nosso.

10 comentários:

  1. Uma folha de papel e um pequeno cofre ainda é a melhor forma de guardar a palavra chave das criptomoedas.

    ResponderEliminar
    Respostas
    1. Eu sempre que tenho que escrever alguma pass, meto / tiro / troco alguns chars so para não ficar copy paste directo (just in case).

      Eliminar
    2. Humm... Excelente sugestão.

      Mas não esquecer de dizer ao cônjuge, pois se a "máquina" parar de trabalhar, lá ficará mais uma pequena fortuna bloqueada no ciberespaço.

      Eliminar
  2. Para quem gosta de gestores de passwords, o LastPass pode ser uma boa opção para guardar essa informação.
    Na versão de "família" eles têm uma funcionalidade que permite partilhar entre os familiares as senhas que se quer que tenham acesso, e ainda tem a função de emergência (também na versão Premium) "Emergency Access" que a pessoa programa o tempo entre o pedido da pessoa previamente autorizada e o ser concedido acesso para que os mesmos possam ter acesso a toda a informação da conta (ex.: morreu, ficou incapacitado, etc.)... caso esteja vivo e contactável pode cancelar a autorização de acesso por parte da pessoa que previamente autorizou a fazer o pedido.
    Não é tão prático como estar no cofre, mas provavelmente será mais conveniente para quem usa gestores de password.

    O LastPass de vez em quando tem tido problemas de segurança, que eles corrigem, mas isso deve ser levado em linha de conta entre o benefício e o risco associado, para alguns utilizadores compensa para outros não.

    ResponderEliminar
    Respostas
    1. Nem de propósito... acaba de ter mais um bug crítico descoberto... :S

      Eliminar
    2. Ui, ui, ui...

      Ok, obrigado Yozzi, pois tenho usado a versão gratuita e pode ser que talvez venha a explorar essas funcionalidades, mas...

      Raios, mais uma vulnerabilidade?

      Vai haver publicação dedicada a essa notícia?

      Eliminar
    3. Claro. Sai ao meio-dia (mas neste momento já foi corrigida).

      Eliminar
    4. Aqui está:
      https://abertoatedemadrugada.com/2019/09/bug-no-lastpass-revelava-password-do.html

      Eliminar
  3. https://bugs.chromium.org/p/project-zero/issues/detail?id=1930

    O bug estava na aplicação Lastpass do Chrome. Entretanto corrigida.

    ResponderEliminar

[pub]