23°C 16°/ 24°
Internet

Usa um gestor de passwords? Então os seus dados podem não estar protegidos

61 Comentários

Uma das medidas mais básicas de segurança é a utilização de um gestor de passwords. É um conselho recorrente e que tem dado provas de que é seguro e útil.

O que não se sabia era que estes gestores nem sempre são seguros e que os dados que recolhem podem ser acedidos. Este é feito facilmente através de uma simples consulta à memória do equipamento onde correm.

gestor passwords protegidos segurança memória


Por norma a confiança dos utilizadores nos gestores de passwords é total. A segurança que prometem dar aos utilizadores torna-os essenciais e uma ferramenta a ter sempre presente. A somar a isto temos a facilidade de utilização e a integração com os sistemas operativos e browsers.

Os gestores de passwords têm uma falha de segurança

Uma análise de segurança feita pela Independent Security Evaluators (ISE) vem agora deitar por terra esta ideia. Foi revelado que as principais aplicações têm falhas de segurança e que podem revelar as passwords com uma simples analise da memória do sistema operativo.

As apps analisadas revelaram que guardam a password mestra em claro na memória do PC. Isto significa que quem aceder ao computador pode lê-la facilmente. Dai em diante pode facilmente aceder a todas as passwords armazenadas.

gestor passwords protegidos segurança memória

A password mestra está acessível em claro na memória

Os investigadores descobriram também que esta mesma password mestra continua em claro na memória mesmo quando a app está bloqueada. Neste estado o acesso aos dados é impedido, obrigando o utilizador desbloqueá-lo novamente. Esperava-se que nestes momentos os dados estivessem seguros.

Claro que existe a condicionante de que este ataque requer acesso físico ou remoto ao PC, havendo uma autenticação. Há ainda a garantia de que estes gestores tornam os utilizadores mais protegidos por exigirem palavras passe de acesso complexas.

O resumo destas descobertas revela as fragilidades destas apps, sem qualquer dúvida. No entanto mostram também que podem ser usadas se forem abertas, a informação retirada e de imediato fechadas. O problema existe se forem mantidas abertas e acessíveis no sistema

Autor: Pedro Simões
Partilhar:
Tags:
gestor memória passwords protegidos Segurança
A Xiaomi copiou o fundo dinâmico de ecrã da Apple, e ainda bem!
Artigo anterior

A Xiaomi copiou o fundo dinâmico de ecrã da Apple, e ainda bem!
Huawei cresce no final de 2018, Apple regista queda histórica
Próximo artigo

Huawei cresce no final de 2018, Apple regista queda histórica
Também pode gostar
PUB

Comentários

61

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Nuno
    Nuno

    Eu por acaso sou da opinião que uma medida de segurança básica é NÃO usar um gestor de passwords… bem sei que memorizar dezenas de passwords é tarefa quase impossível, mas eu uso uma fórmula muito simples: uma combinação de letras, números e caracteres especiais que alteram conforme a plataforma a que dizem respeito. Fácil de memorizar, passwords diferentes para todas as plataformas e sem usar um gestor de passwords. Que vos parece?

    Responder
    1. Avatar de Pedro
      Pedro

      +1 Faço exactamente isso!

      Responder
      1. Avatar de Hugo Santos
        Hugo Santos

        +1. Usava o lastpass, mas devido às broncas e o facto de não ser multi plataforma, apaguei a conta. Agora uso uma menemonica complexa que varia apenas com a plataforma que uso.

        Responder
        1. Avatar de carlos fernandes
          carlos fernandes

          não é multiplataforma???? está em qualquer browser.

          Responder
    2. Avatar de charles
      charles

      é também a minha estratégia!!

      Responder
    3. Avatar de AP
      AP

      Parabéns. Mais uma linha num cracker de passwords e todas as tuas passwords são fáceis. Milhares de pessoas que trabalham na área de segurança dizem todas: USEM UM GESTOR DE PASSWORDS.

      Mas o Nuno é mais experto que os outros claramente. Recomendo visitar https://haveibeenpwned.com/ para ganhar um pouco de humildade e respeito pelos investigadores de segurança.

      Responder
      1. Avatar de Nuno
        Nuno

        Não sou mais experto, nem sequer mais esperto. Dei a minha opinião, não dei um veredicto. Respeito toda a gente e todas as opiniões. Faça o mesmo, vai ver que se sente melhor.

        Responder
        1. Avatar de AP
          AP

          Nesse caso sugiro que reavalies a tua técnica de gestão de passwords, pois posso-te dizer que pouco mais seguro é do que usares a mesma password em todo lado: afinal de contas, estás a usar o mesmo algortimo para todo o lado.
          Quer dizer que se eu for ao leak da Adobe, posso ver que a tua password é ATUMazeiteadobe, facilmente um crawler converte isso para [base password] + [site tag].

          Se leres o artigo, verás que a única solução apresentada que não se rebenta toda como se fosse 1990, é o Keepass. É isso que sugiro, keepass, podes ter o ficheiro na dropbox se quiseres: mas usa uma, só uma, grande e única password.

          “Sentir melhor” de pouco serve quando te roubam contas, dinheiro ou te apanham num ransomware.

          Cumprimentos.

          Responder
      2. Avatar de blablabla
        blablabla

        Se quiser dar a sua opinião, esteja à vontade mas faça o favor de não falar por milhares de pessoas que trabalham na área de segurança.

        Responder
    4. Avatar de ervilhoid
      ervilhoid

      Acho que já somos muitos a usar a mesma técnica, acho que já não é assim tão seguro 🙂

      Responder
    5. Avatar de Hugo Nabais
      Hugo Nabais

      Tentei fazer isso mas era difícil e pouco prático de usar (pelo menos para mim).
      Voltei a usar o KeePass, que para além de passwords permite guardar muita mais informação sobre cada entrada.

      Responder
    6. Avatar de Rudi
      Rudi

      basta apanharem a primeita password, fazerem uma analise e um script gerar varias passwords mesmo com esse tipo de comportamento elas ao de estar lá.

      Problema é que muita gente pensa que as pessoas estão a escrever passwords a tentar descobrir a password de alguem, quando na realidade é uma maquina que gera e testa N passwords.

      No youtube existe um canal chamado de computerphyle que tem lá alguem a demonstrar isso.

      Um gestor de passwords com two-factor é segurança basica de momento.

      Responder
    7. Avatar de Ana
      Ana

      concordo… acho que a ultima coisa que fazia era ‘oferecer’ passwords minhas a um gestor qualquer sabe-se la de onde, de passwords… ao menos que tenham só os sites onde as meto, e sempre que possível, diferentes umas das outras, para se uma for roubada, nao acederem aos outros sítios… essa é a norma básica de segurança.

      Responder
    8. Avatar de Pedro Monteiro
      Pedro Monteiro

      Por acaso utilizo o BitDefender Antivirus e já tem um gestor de passwords, experimentei e fiquei fâ. Será que até este está com problemas? 🙁

      Responder
  2. Avatar de Francisco m
    Francisco m

    Keepass para mim é o melhor gestor de passwords, faz o que é possivel fazer.

    Responder
    1. Avatar de Francisco m
      Francisco m

      Ja agora deixar o gestor de passwords sempre aberto ainda que locked nao é boa ideia

      Responder
      1. Avatar de Hugo Nabais
        Hugo Nabais

        Eu uso o KeePass , abro uso o que quero e fecho logo.

        Responder
      2. Avatar de Alvaro Campos
        Alvaro Campos

        No Keepass, podes definir o tempo que a aplicação fica aberta e por quanto tempo o texto copiado fica em memória
        No meu caso, a aplicação fecha automaticamente ao fim de 60 segundos e o texto copiado dura 10 segundos no clipboard
        Tudo isto está nas opções de segurança da aplicação

        Responder
  3. Avatar de SL
    SL

    Grande parte das questões dessa falha penso que ja foram ultrapassadas / minimizadas:
    https://threatpost.com/1password-dashlane-keepass-and-lastpass/142037/

    Responder
  4. Avatar de David Morais Anselmo
    David Morais Anselmo

    Basta terem o serviço meo para terem tudo acessível para qualquer pessoa! Não é preciso nenhum blogue a meo faz isso por nós 🙂 Mudei para a Vodafone estou a pagar mais que o dobro que estava a pagar pela Meo mas a segurança dos dados é sagrado 🙂 O mesmo acontece com o Android e IOS 🙂 o maior ladrão pode estar na nossa casa sem ninguem ver ou melhor abrir a porta sem apreceber-mos ou então termos no nosso bolso!

    Responder
  5. Avatar de cK
    cK

    Para mim, e sendo minha opinião pessoal, o STEGANOS PASSWORD MANAGER é de longe o mais moderno, seguro e mais avançado neste campo.

    Responder
  6. Avatar de Mercdei
    Mercdei

    Expliquem me então a solução? Colocar a chave mestra encriptada em memória? E onde fica guardado a chave que desencripta a chave mestra? No final vai tudo parar à memória. Só com soluções baseadas em processadores criptograficos é que se contorna isto tudo

    Responder
    1. Avatar de miguel
      miguel

      Alguém que tem um mínimo de conhecimentos na aérea, e não posta barbaridades!
      Resumindo sem um chip dedicado a chave de encriptação é sempre possivel sacar dos dados da memória.

      Deixem de usar essas coisas de armazenar os ovos todos no mesmo cesto qualquer dia o lobo aparece 😉

      Responder
      1. Avatar de Francisco m
        Francisco m

        Que aconselhas ao enduser normal que precisa gerir a suas passwords então?

        Responder
        1. Avatar de rui
          rui

          bloco de notas com uma cifra de cesar+random int ou uma menmonica pessoal qualquer

          Responder
          1. Avatar de AP
            AP

            Espetácular. Quando nos 90 falavam no futuro da tecnologia, estavam mesmo a imaginar que as pessoas do futuro andassem com blocos de notas e jogos mentais só para verem o e-mail.

            Que raio, então mas agora usar a internet também é desporto, é preciso ir aos treinos e manter as mnemónimas vivas? Para quem servem esta ferramentas afinal?

  7. Avatar de Carlos Costa
    Carlos Costa

    Quais os gestores de passwords estão comprometidos?

    Responder
    1. Avatar de miguel
      miguel

      Todos!

      Responder
    2. Avatar de AP
      AP

      Todos menos o Keepass. O costume.

      Responder
  8. Avatar de José Santos
    José Santos

    Comecei a usar o BITWARDEN : não será assim tão fiável ?

    Responder
  9. Avatar de Ska
    Ska

    Uso o post-it no monitor do equipamento…
    Assim nunca me esqueço… >.<!

    Responder
    1. Avatar de Francisco m
      Francisco m

      Upgrade: usa caneta de tinta invisível para a pass e tinta normal para uma password fake no mesmo postit, depois usas um led UV! xD

      Responder
  10. Avatar de darth
    darth

    uso o keepass portable numa pen usb

    Responder
    1. Avatar de Spoky
      Spoky

      Bem bom, para dar malware spread, basta metes a PEN onde não deves que é o suficiente. E não me digas que tambem metes a master key na mesma pen usb, ou a password em plain text LOL.

      Responder
  11. Avatar de Pedro
    Pedro

    Eu uso o “passwords” no iPhone, será que tambem é inseguro?

    Responder
  12. Avatar de Henrique
    Henrique

    Lastpass
    Boa segurança. Browser windows. App android. Tem versão gratuita para Windows.

    Responder
    1. Avatar de Spoky
      Spoky

      Até o dia, todos os sistemas possuem bugs e não são 100% seguros, basta um dia haver uma falha por mínima que seja, de alguma alteração, modificação que origine algum bug, exploit que possa ser explorado, é o suficiente.

      Isto de dizer e pensar que tem boa segurança e tem 2FA, é surreal. Não é por ter isso que vai prevenir tudo.

      Responder
  13. Avatar de Lights!
    Lights!

    Por aqui é 1password no iPhone e Mac (https://1password.com/security/ ). Nada a reclamar.

    Responder
    1. Avatar de Spoky
      Spoky

      Se fores te fiar por tudo o que dizem nas páginas “security” de vários serviços online. Então facilmente cais, em esquemas de puro marketing. Isto não significa que não seja seguro ou o que esteja ai escrito, seja mentira.

      Mas acreditar que é 100% seguro, é um erro enorme. As empresas de segurança tendem a exagerar nos “contextos e pretextos” de forma a que o utilizador se convença demasiado, e no final de contas não é assim tão bom quanto parecia.

      Cuidado, já disse e volto a dizer. Isto é o jogo do rato e do gato. Por enquanto o rato esta bem escondido na toca, mas se o gato apanha o rato fora do seu território é o suficiente para causar estragos por mínimos que sejam.

      Não é ao acaso que a maioria dos “trojans, malware” estão utilizando tecnicas cada vez mais avançadas, e os Antivirus a tentar utilizar tecnicas mais recentes para os detectar, tal como Machine Learning (MERO EXEMPLO de outro jogo do rato e do gato, ganha quem for mais rápido).

      Responder
  14. Avatar de Daniel
    Daniel

    Boas. Mas e entao se a chave mestra desses gestores fosse o reconhecimento facial utilizado no windows e ios? Talvez fosse melhorar a seguranca um pouco mais, o problema e existir uma chave secundaria em caso o reconhecimento falhe e essa pode ser tambem descoberta.

    Responder
    1. Avatar de MR
      MR

      Quando ativei o reconhecimento facial no android para desbloquear o ecrã, apareceu uma mensagem a alertar que era menos seguro que os outros métodos…

      Responder
  15. Avatar de Pedro
    Pedro

    Com um keylogger nem um processador criptografico te safa!

    Responder
  16. Avatar de Tó

    Isto é tudo muito lindo.
    Não há nada como um envelope em 2 cofres (50% da pass em cada lado).

    Em caso de emergência, alguém sabe o que fazer…

    Gestor de passwords, é muito lindo… lembram-se da lastpass hackeada ?
    https://www.quora.com/How-secure-is-lastpass-from-being-hacked

    Responder
    1. Avatar de AP
      AP

      Gestor de password não precisa de ser online. Aliás, nunca na vida usaria tal coisa.

      Responder
      1. Avatar de Hugo Nabais
        Hugo Nabais

        +1

        Responder
  17. Avatar de Ana
    Ana

    a melhor gestora de passwords é a cabecinha… ou um papel em casa…

    depois em cada sítio que entram, por uma diferente para o caso de ser roubada num sítio, não terem a capacidade de vos entrar em tudo quanto é site.

    podem agradecer depois.

    Responder
    1. Avatar de AP
      AP

      A Ana consegue lembrar de centenas de passwords individuais para cada site? Isso não é um requisito um pouco elevado?

      Responder
    2. Avatar de Hugo Nabais
      Hugo Nabais

      Como é que sugere que eu memorize as perto de 1000 entradas que tenho no meu gestor KeePass?
      passwords, usernames, emails, pins, puks, número de contas, endereço IPs, etc, etc

      Responder
  18. Avatar de censo
    censo

    Mas quem é que no seu perfeito juízo usa um gestor de passwords? Que falta de noção de segurança. Isto é como por gelo no frigorífico e esperar que ele se mantenha em pedra…enfim!

    Responder
    1. Avatar de Hugo Nabais
      Hugo Nabais

      Tendo em conta que no KeePass tenho perto de 1000 entradas, deveria de ser muito fácil decorar todas as diferentes passwords, usernames, emails, pins, puks, número de contas, etc, etc!
      Ou então seria melhor repetir passwords.
      Pois…

      Responder
      1. Avatar de censo
        censo

        E só conheces esse tipo de ferramenta para guardares as tuas passwords ? Não há mais nada onde guardares passwords sem ser em aplicações de terceiros ? Faz lá um esforço em prol da tua segurança.

        Responder
        1. Avatar de Hugo Nabais
          Hugo Nabais

          Censo,
          Sim conheço outras ferramentas para guardar passwords.
          Era o que fazia antes de usar o KeePass. Mas eram menos práticas e menos seguras!

          E, pelo menos eu, não considero o KeePass verdadeiramente “de terceiros”, pois é opensource e tenho o source code (tal como muitos outros que olham e controlam o código contra algo malicioso).
          E antes que perguntes, sim sou programador, e já analisei o código.

          Quanto ao esforço em prol da minha segurança, foi precisamente o que fiz ao adoptar o KeePass em vez de outros métodos que usava anteriormente!

          Responder
  19. Avatar de Sousa
    Sousa

    eWallet conhecem?

    Responder
  20. Avatar de Carlos
    Carlos

    Pois, e principalmente porque é facílimo qualquer pessoa ler a memória de qualquer computador no mundo!

    E que tal um bocadinho de seriedade?

    De muito longe, o maior problema que uma pessoa normal tem com as passwords é reutilizar o mesmo login, a combinação username+password, numa série de sites por essa Internet fora e alguém, seja lá como for, conseguir descobrir essa combinação e passar a ter acesso a esses sites como se fosse essa outra pessoa.

    Não é por acaso que basicamente TODOS os peritos em segurança recomendam a utilização de gestores de passwords, porque os gestores de passowords protegem os utilizadores do problema real que é a reutilização de passowords e não contra o problema imaginário que é alguém conseguir ler a memória do computador.

    Responder
    1. Avatar de Hugo Nabais
      Hugo Nabais

      Concordo, também estranhei a forma como o artigo parece afirmar que é fácil aceder à memória de outros programas num computador.
      É possível, não tenho dúvidas, mas improvável, muito mais provável de ter algum problema de segurança é o não usar passswords complexas, seguras e diferentes para cada “serviço”.

      Responder
  21. Avatar de N
    N

    O que acham do Roboform, mas em modo offline?

    Responder
  22. Avatar de orlando
    orlando

    Eu uso o KeePass, que já foi referido várias vezes.

    Responder
  23. Avatar de A. Martins
    A. Martins

    Não será que estão a fazer uma “tempestade num copo de água”??!!
    Parecemos pardais!! Deram um tiro para o ar, e toca a fugir, em todas as direcções!!!
    Quantas vezes foram descobertos bugs que comprometem a segurança, seja da Microsoft, seja da Google, ou de aplicações!!? E o que é que se seguiu? …um patch de segurança para resolver!! Aqui é igual. O importante é terem descoberto!! Agora vão todos tentar resolver, até porque os “clientes” querem sentir-se seguros, e eles não vão ficar de braços cruzados…por isso não tarda nada, a Lastpass o Keepass e outros vão arranjar solução!!

    Responder
  24. Avatar de SL
    SL

    Uma boa leitura sobre o porquê de se utilizar password manager
    https://www.washingtonpost.com/gdpr-consent/?destination=%2ftechnology%2f2019%2f02%2f19%2fpassword-managers-have-security-flaw-you-should-still-use-one%2f%3futm_term%3d.39f52746eaff&utm_term=.4237dc69aa1b

    Responder
  25. Avatar de Hugo Nabais
    Hugo Nabais

    O KeePass pelo menos parece não sofrer do problema descrito neste artigo:
    “While KeePass is running, sensitive data is stored encryptedly in the process memory. This means that even if you would dump the KeePass process memory to disk, you could not find any sensitive data. For performance reasons, the process memory protection only applies to sensitive data; sensitive data here includes for instance the master key and entry password”

    Responder
  26. Avatar de João Cavaleiro
    João Cavaleiro

    Simples: escrever uma password num papel, embrulhar bem, meter um num cofre, outro enterrar, outro meter dentro do autoclismo..

    Já está!

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.