Antigo defensor do gerenciador de senhas LastPass, o especialista em criptografia e senhas Jeremi Gosney listou em seu perfil no Mastodon uma série de razões para justificar que se deixe de usar o gerenciador.
Mas não entenda errado: continua sendo muito importante fazer uso de um bom gerenciador de senhas para uma igualmente boa segurança digital—desde que não seja o LastPass.
Os motivos não são poucos, insignificantes ou algo meramente recente.
Eu costumava apoiar o LastPass. Recomendei ele durante anos e defendi publicamente na mídia. Se você pesquisar, verá centenas de artigos onde promovi o LastPass. Eu o defendi até mesmo em face das vulnerabilidades e brechas por causa da interface e por ainda parecer que era a melhor opção para as massas apesar das falhas.
Jeremi Gosney
Gosney começa dizendo que seria uma mentira a política de “zero conhecimento” do LastPass. “Eles têm tanto conhecimento quanto é possível um gerenciador de senhas ter”, afirma.
Segundo ele, toda vez que você faz login em um site usando o LastPass, um evento seria gerado e enviado aos servidores do gerenciador mesmo que você tenha desativado o recurso de telemetria.
Gosney também afirma que quase tudo no cofre do LastPass não possuiria criptografia, ainda que para ele as pessoas possam esperar que ela exista dado que se trata de um gerenciador de senhas.
Isso significa que eles podem não ter acesso às senhas em si, mas têm aos metadados como quando e onde você usou uma credencial armazenada no cofre e os campos que Gosney afirma que não possuem criptografia.
Acho que a maioria das pessoas vê seus cofres como algum tipo de banco de dados criptografado onde todo o arquivo é cifrado, mas não. Com o LastPass, seu cofre é um arquivo em texto puro com somente alguns campos criptografados.
Jeremi Gosney
Ele ainda revela que o LastPass usa criptografia de baixa qualidade e que “cometeram todos os pecados de iniciante” no que se refere a cifragem, algo “espantoso” em se tratando de uma “empresa supostamente de segurança”.
Outro ponto que Gosney aponta como terrível é o gerenciamento de sigilos, como a chave de criptografia do seu cofre, que segundo ele seria mantida sempre na memória e nunca é apagada.
Até mesmo a chave de recuperação do cofre seria armazenada sem criptografia em cada dispositivo onde você usa o LastPass, sem a necessidade de privilégios como root para ser acessada.
Isso significaria, de acordo com o especialista, que a sua senha mestra é praticamente inútil diante dessas descobertas. Gosney chama ainda os complementos de navegador de “puro e inalterado lixo”.
Isso seria por conta de uma caçada em busca de bugs ter encontrado “todos os tipos de falhas possíveis” anos atrás, envolvendo até roubo de credenciais. Para Gosney, esses complementos inutilizam recursos de segurança dos navegadores como a chamada sandbox.
Para ele é inconcebível que uma empresa de segurança tenha um número tão grande de problemas de alta e até crítica severidade. “A presença desses problemas pode somente ser explicada por apatia e negligência”, dispara.
Outro ponto desastroso da arquitetura do LastPass seria a API, ou interface de programação de aplicativos, que permite a interação entre diferentes programas.
Gosney afirma que ela, no caso do LastPass, permitiria a injeção de JavaScript arbitrariamente.
Também seria possível o servidor solicitar a chave de criptografia do cliente e até mesmo roubar credenciais em texto puro. Mesmo links de recuperação de conta poderiam ser forjados, segundo o especialista.
Caso o LastPass perdesse o controle sobre seus servidores, isso significaria um risco de segurança atingindo não somente eles próprios mas também um número amplo de pessoas usuárias do serviço.
Gosney menciona ainda as sete vezes em que o serviço foi invadido de maneira mais grave num intervalo de 10 anos, o que para ele é mais do que qualquer um deveria tolerar.
Gosney também acusa os responsáveis pelo gerenciador de senhas de ignorar pesquisadores de segurança e denúncias de vulnerabilidades. Eles sequer participariam da comunidade de segurança da informação, nem da comunidade que se debruça sobre as maneiras de quebrar e descobrir uma senha.
Gosney faz parte de ambas, por isso foi capaz de reunir esse “pequeno” relatório de razões para abandonar o LastPass.
Até pouco tempo, afirma o especialista, o gerenciador até informava dados de contato errados para falar com a equipe de segurança.
Já perto do final de seu toot (equivalente a um tweet), Gosney menciona que diante de tudo isso, não é por conta apenas da última invasão ao serviço que ele está recomendando que todos fujam do LastPass.
O serviço teria portanto um longo “histórico de incompetência, apatia e negligência”. “É abundantemente claro que eles não se importam com a própria segurança, nem muito menos com a sua”, critica Gosney.
Mas para onde ir? Felizmente não faltam opções no mercado e as recomendadas pelo especialista são o 1Password e o Bitwarden. O primeiro ele recomenda por conhecer gente envolvida no desenvolvimento da ferramenta.
E o Bitwarden é recomendado por ser de código aberto e Gosney, como especialista em segurança, ter analisado parcialmente o código e gostado do que viu, de acordo com o texto no toot.
Ele destaca que o problema não são os serviços em nuvem, nem sequer onde você hospeda seu banco de dados com suas senhas, mas sim com como uma empresa lida com a segurança das informações dela e de seus usuários.
Sem rastreadores. Sem anúncios. Sem paywall.
Se você gostou do conteúdo, considere pagar um cafezinho para o autor.
Este blog não mostra mais anúncios, nem conta com rastreadores ou paywall. De verdade. Não rouba seus dados e nem os vende. Ele conta apenas com a colaboração dos leitores.
