O LastPass, serviço encarregado de guardar todas as nossas diferentes medidas de segurança online com apenas uma senha mestra, foi hackeado na sexta-feira. Os detalhes só foram divulgados esta semana.

>>> Qual é o gerenciador de senhas mais seguro?
>>> Os erros comuns que enfraquecem a sua senha “forte”

A invasão foi menos brutal do que parece: pelo visto, ninguém levou suas senhas do Gmail, Facebook ou outros serviços. A LastPass explica:

Em nossa investigação, não encontramos nenhuma evidência de que dados criptografados do usuário foram levados, nem que as contas de usuário do LastPass foram acessadas. O inquérito revelou, no entanto, que os endereços de e-mail de contas do LastPass, lembretes de senha, salts de servidor e hashes de autenticação foram comprometidos.

Ou seja, suas senhas armazenadas no LastPass não foram roubadas, mas os invasores tiveram acesso a endereços de e-mail e lembretes de senha.

Além disso, eles pegaram hashes de autenticação: isso é usado para dizer ao LastPass que você tem permissão para acessar sua conta. Eles devem ser criptografados o bastante para impedir que outras pessoas acessem seus dados.

Mesmo assim, a LastPass pede que todos os usuários troquem a senha. E logo! Basta ir em Configurações da Conta > Alterar Senha Mestra.

Além disso, aproveite para ativar a autenticação de dois fatores: com ela, você pode usar apps como o Google Authenticator ou o Autenticador da Microsoft para gerar códigos únicos que permitem acesso à sua conta – não basta apenas a senha mestra. Ative isso neste link.

Apesar da invasão, é recomendável usar um serviço como o LastPass ou o Dashlane: eles são uma forma mais segura que deixar senhas guardadas no navegador, e podem criar senhas fortes para seus serviços na web.

Você também pode usar gerenciadores de senha que não guardam dados na nuvem, como o KeePass e 1Password. Saiba mais aqui. [LastPass]

Foto por Vincent Li/Flickr