Pesquisadores do Applied Cryptography Group da ETH Zurich testaram três gestores de senhas baseados na nuvem: Bitwarden, LastPass e Dashlane. A equipa incluiu Matilda Backendal, Matteo Scarlata, Kenneth Paterson e Giovanni Torrisi.
Os investigadores montaram servidores que imitam um servidor hackeado e assumiram um modelo de ameaça com servidor malicioso. Demonstraram vários ataques que iam desde atingir cofres de utilizadores específicos até comprometer todos os cofres de uma organização. Na maior parte dos casos, conseguiram aceder às senhas dos utilizadores e, por vezes, alterá‑las.
A equipa deu aos fornecedores 90 dias para corrigir as falhas seguindo práticas de divulgação responsável. Recomendam atualizar sistemas para novos clientes, oferecer migração aos clientes existentes e ser transparente; além disso, preferir gestores sujeitos a auditorias externas e com encriptação ponta a ponta ativa por defeito.
Palavras difíceis
- gestor de senhas — programa que guarda senhas e informações segurasgestores de senhas
- servidor — computador que fornece serviços ou dados a outrosservidores
- malicioso — com intenção de causar dano ou atacar sistemas
- ataque — ação para entrar ou prejudicar um sistemaataques
- cofre — local seguro onde se guardam senhascofres
- aceder — ter acesso a algo, entrar em dados
- corrigir — fazer mudanças para eliminar um problema
- encriptação — processo que torna dados ilegíveis para terceiros
- divulgação — ato de tornar pública informação importante
- auditoria — verificação externa que avalia segurança e práticasauditorias
Dica: passe o mouse, foque ou toque nas palavras destacadas no artigo para ver definições rápidas enquanto lê ou ouve.
Perguntas para discussão
- Você usaria um gestor de senhas com encriptação ponta a ponta por defeito? Por que sim ou por que não?
- Como espera que os fornecedores ajam depois de receberem um relatório de falhas de segurança?
- Que critérios considera importantes ao escolher um gestor de senhas para a sua organização?
