Suspeita de Potenciais Intrusões em Serviço LastPass

"Anomalias de tráfego de rede" para os serviços de gerenciamento de senhas da LastPass de bancos de dados podem ter causado à empresa uma suspeita de que os invasores poderiam ter colhido informações pessoais - incluindo senhas mestras de alguns clientes. LastPass é um gerenciador de senhas on-line, que pode preencher automaticamente o log-in na formulários de páginas da Web usando um plug-in.

LastPass disse que ele não tem nenhuma prova concreta de um break-in, mas que "onde há fumaça, há fogo", portanto, é bom ficar bem atentos. A empresa está, portanto, obrigando todos os seus clientes a alterar suas senhas mestras. LastPass disse que, embora assuma que os hashes de senha resistam a um ataque de força bruta, senhas muito fracas poderia ser quebradas através de um ataque de dicionário, e que por isso, precisam potencialmente reforçar essa segurança.

A empresa também está aproveitando a oportunidade para tornar suas senhas ainda mais resistente às tentativas de quebra; LastPass anunciou que está tendo a oportunidade de implementar o padrão Password-Based Key Derivation Function (PBKDF2) usando SHA-256 no servidor com um pouco 256-bit salt usando 100.000 rounds. Este aumento no número de rounds proporcionará uma maior resiliência: eles aumentam o esforço computacional exigido e aparentemente vão abrandar senhas crackeadas rápidamente, de tal forma que eles possam, por exemplo, conseguir apenas 10 senhas por segundo ao invés de 100.000. LastPass disse que pretende implementar PBKDF2 no cliente, em um plano futuro.


Saiba Mais:

[1] LastPass: http://blog.lastpass.com/2011/05/las...ification.html
[2] PBKDF2: http://en.wikipedia.org/wiki/PBKDF2