Apps para guardar senhas com falhas de segurança: correção veio à tempo

SegurançaRecomendados por especialistas em segurança na internet, os gerenciadores de senhas são formas seguras de guardar seus dados de acesso a sites de redes sociais, páginas web e até mesmo internet banking. Era o que se pensava até que eles foram pegos com brechas de segurança que poderiam facilitar o vazamento das suas credenciais.

Um estudo publicado nesta semana por pesquisadores do Instituto Fraunhofer de Tecnologia de Segurança da Informação mostra que 9 apps Android populares que gerenciam senhas são vulneráveis a uma ou mais brechas de segurança.

Foram analisados os seguintes aplicativos: LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore’s Password Manager, F-Secure KEY, Keepsafe, e Avast Passwords.

Cada um deles tem entre 100 mil e 50 milhões de instalações em smartphones.

Fonte: Exame

Saiba se sua conta no Dropbox foi hackeada

haveibeenpwnedCom o objetivo de não alarmar os usuários, a Dropbox arranjou uma forma simpática de informar que o seu serviço não tinha sido atacado. Para tal enviou uma mensagem avisando os usuários que haviam criado suas contas antes do primeiro trimestre de 2012 ou que não mudam a senha desde o segundo semestre de 2012, como uma recomendação expressa para que fizessem a mudança da senha de suas contas.

É de conhecimento de todos que mais de 68 milhões de contas do Dropbox foram roubadas.

O ataque ao Dropbox foi real! Mais de 68 milhões de senhas foram roubadas e a primeira coisa a fazer é fazer já a mudança.

Saiba se a sua conta está na lista daquelas que foram roubadas consultando este site.

Se a sua conta estiver associada a algum tipo de ataque, faça imediatamente a alteração da sua senha (se ainda não o fez) e também mude essa senha se for a mesma utilizada em outros serviços.

Além da alteração da senha, o Dropbox recomenda ainda que sejam implementadas outras medidas de segurança. Por exemplo, evitar a utilização de senhas no compartilhamento entre serviços e o acesso ao Dropbox em locais pouco seguros. É ainda recomendado que seja usada a autenticação de dois fatores para uma segurança elevada.

Fonte: pplware

Algoritmo brasileiro pode aumentar a proteção das senhas

cybersecurityO algoritmo brasileiro LYRA2 ganhou reconhecimento especial entre finalistas em competição internacional de proteção de senhas. Elogiado pelo seu design elegante e pela sua abordagem alternativa contra ataques feitos com vários processadores em paralelo, o algoritmo é disponibilizado gratuitamente para uso público (http://lyra2.net/).

Em 2012, foi mostrado que qualquer senha de até oito caracteres utilizada em um computador poderia ser hackeada em menos de 5 horas e trinta minutos. Visando aumentar a segurança dos usuários, especialistas da área de segurança abriram as inscrições para uma competição de algoritmos capazes de defender senhas de ataques cibernéticos (Password Hashing Competition). Essa oportunidade fez com que o professor Marcos Simplicio Jr, juntamente com seus orientandos Leonardo Almeida, Ewerton Andrade e Paulo dos Santos, e o professor Paulo Barreto formassem o grupo que seria responsável pela criação do novo algoritmo. A competição durou de 2013 até 2015, reunindo especialistas da área de segurança do mundo todo.

O código do algoritmo é aberto, ou seja, qualquer um pode acessá-lo e ver como ele funciona (sabendo um pouco de programação). Isso faz com que o algoritmo seja livre de backdoors, caminhos mais curtos para burlar o sistema de verificação, como os que a agência de segurança americana (NSA) costuma instalar em seus sistemas para facilitar a vigilância do governo norte-americano sobre a população. Assim, qualquer ataque que queira descobrir a senha do usuário terá de usar a força bruta virtual, com uma máquina testando senha por senha, a um elevado custo computacional.

Diferentemente de cifras criptográficas, que usam uma chave para codificar e decodificar senhas, o LYRA2 realiza processos de hashing e salting em senhas, embaralhando os bits dos números e caracteres que compõem a senha de forma específica para cada usuário, formando um código final muito mais complexo do que o digitado. Isso impede que um hacker faça o caminho inverso e chegue à senha original a partir do código final. Assim, mesmo que um hacker descubra o código final da senha (hash) do Facebook de alguém, e a pessoa utilize a mesma senha em seu cartão de crédito, o atacante não terá acesso ao segundo, pois os códigos finais são únicos e diferentes.

Mas a intenção do algoritmo é que o atacante não descubra código nenhum.

Táticas de Defesa – como prejudicar o atacante e não o usuário legítimo

Além dos processos de hashing e salting, o LYRA2 apresenta outras maneiras interessantes de defender as senhas de atacantes especializados; entre elas, destacam-se a resistência a ataques em paralelo e a necessidade de se acessar uma quantidade de memória repetidamente.

Um dos problemas enfrentados pelo algoritmo é o cenário em que o atacante tem acesso a um elevado poder computacional. Se um governo ou hacker dotado de hardware especializado estivesse atrás da informação de algum usuário, ele não usaria um hardware processando senha por senha, mas centenas deles ao mesmo tempo.

A forma que o LYRA2 encontrou para combater isso foi atrelar um custo de memória a cada tentativa, assim a memória total do hardware seria dividida entre os diversos canais de ataque. Dessa maneira, os ataques simultâneos perdem sua eficácia, pois como a capacidade de processamento de dados em paralelo é atrelada à memória utilizada, a velocidade do teste de cada senha diminui. Isso tudo faz com que o custo da tentativa de quebra de senha aumente, tanto em tempo, quanto em material tecnológico à disposição. Por exemplo, se um usuário legítimo configurar o algoritmo para executar em 1 segundo e utilizar 1 Gigabyte de memória, um atacante, para testar mil senhas por segundo, precisaria de mil processadores e um total de 1 Terabyte de memória RAM, algo não muito viável.

Segundo o professor Marcos Simplício Jr. o algoritmo foi pensado com o intuito de “prejudicar o atacante e não o usuário legítimo”, de forma que quando o usuário insira sua senha, a verificação não demorará mais do que alguns instantes. O tempo de verificação e o uso de memória também podem ser modificados, de acordo com as preferências do usuário.

Parâmetros

O algoritmo permite que o usuário ajuste os parâmetros do uso de memória e do custo de processamento de acordo com a capacidade de seu computador, e de acordo com suas necessidades de segurança, otimizando seu desempenho contra ataques. Assim, LYRA2 é um algoritmo que pode ser utilizado tanto por usuários finais quanto por grandes corporações, utilizando diferentes níveis de recursos computacionais dependendo da aplicação.

Aplicação – A defesa virtual além das senhas

Desde que o grupo de pesquisa disponibilizou o algoritmo para o uso do mundo todo, ele vem conquistando espaço e novas formas de uso, inclusive entre uma das moedas virtuais, o VertCoin. Como o LYRA2 é capaz de neutralizar boa parte da eficácia de testes simultâneos, ele impede que pessoas com hardwares especializados ganhem vantagens no processo da geração de moeda virtual, que antes era mais dependente da tecnologia que cada pessoa dispunha.

Symantec alerta: novo scam rouba senhas e e-mails

ScamA Norton emitiu nos últimos dias um alerta para um novo golpe que rouba credenciais de e-mail por meio do scam, prática que se baseia em induzir a vítima a fornecer suas informações pessoais.

Segundo a companhia de segurança, para efetuar o ataque, os cibercriminosos precisam apenas do endereço de e-mail e o número de telefone associado ao usuário, dados que podem ser obtidos com muita facilidade em redes sociais e em perfis de sites de empregos.

Com o e-mail e o telefone em mãos, o invasor tentará redefinir a senha de acesso e o sistema enviará automaticamente uma mensagem de texto ao celular da vítima com o código de verificação. Nesse momento, o criminoso se disfarça como o provedor de e-mail e solicita esse código também via mensagem de texto. Se a vítima fornecer o código, o criminoso pode alterar a senha ou mesmo adicionar um endereço alternativo sem o conhecimento do usuário, a fim de encaminhar cópias de todas as mensagens enviadas para esse endereço de e-mail.

Como evitar o scam

Ainda de acordo com a Norton, o scam usado pelos criminosos é bastante simples. Por esse motivo, a empresa afirma que ele pode ser evitado caso o usuário fique atento, já que os invasores geralmente não estão buscando dados financeiros, e sim pesquisando e rastreando detalhes sobre os seus alvos para futuros ataques maiores.

Para evitar cair em golpes como esse, a Norton sugere algumas medidas de segurança que você já deve conhecer. Sempre desconfie de mensagens de texto pedindo códigos de verificação de e-mails. Se você não tem certeza de que a solicitação é legítima, entre em contato com seu provedor diretamente. Além disso, use uma senha forte e diferente para cada uma das suas contas, pois isso reduz as chances de que seus dados pessoais sejam comprometidos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Linkedin sofre novo ataque e expõe usuários

linkedin_hackedNesta semana, um hacker colocou à venda um suposto banco de dados com registros de 167 milhões de usuários do LinkedIn. Pelo pacote com IDs, endereços de e-mail e chaves de segurança, o vendedor pedia 5 bitcoins (cerca de US$ 2,2 mil).

Em 2012, a rede social corporativa já havia passado por um vazamento de dados semelhante, que resultou na exposição de 6,5 milhões de registros e senhas de usuários expostos na rede.

Tentativas de contato com o vendedor não surtiram efeito. Porém, os administradores do site LeakedSource, que indexa vazamentos de informações, afirmaram ter uma cópia dos registros e que, possivelmente, tratava-se de algo relacionado ao episódio ocorrido há quatro anos.

Das 167 milhões de contas comprometidas do LinkedIn, incluem 117 milhões de senhas. Agora, a LeakedSource anunciou que conseguiu descriptografá-las e ranqueou as escolhas mais populares de usuários. Resumo? Definitivamente, criar senhas complexas não é muito o forte das pessoas.

A seguir, confira as dez senhas mais populares usadas no LinkedIn. Caso você não tenha trocado a sua ainda, recomenda-se que você faça o quanto antes.

1 – 123456 – 753,305

2- linkedin – 172,523

3 – password – 144,458

4 – 123456789 – 94,314

5 – 12345678 – 63,769

6 – 111111 – 57,210

7 – 1234567 – 49,652

8 – sunshine – 39,118

9 – qwerty – 37,538

10 – 654321 – 33,854

Você pode conferir o ranking completo das senhas mais populares no link.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

ESET sugere: uso de frases como senhas e não apenas uma palavra

PasswordA ESET, empresa pioneira em soluções de segurança, alerta os internautas para a importância de usar senhas fortes e sugere uma solução muito eficaz: “frases-senha”.

O cibercrime é uma ameaça crescente e os roubos de informação são mais comuns do que nunca, especialmente pela utilização de “passwords” fracas. As senhas mais comuns da atualidade são “123456”, “password”, “12345678” e “12345”. Qualquer uma destas tem o mérito de ser fácil de recordar, é verdade, mas são o espelho de práticas de segurança perigosas e facilmente suplantadas.

A ESET sugere que os usuários esqueçam o conceito de senha na forma de palavra levado ao pé da letra, optando em vez disso pela adoção de “frases-senha”: isto é, termos mais complexos, mas ainda assim fáceis de memorizar para cada um.

A ESET propõe que seja acrescido a sua senha mais do que uma palavra para formar uma frase que faça sentido para você. Pode depois acrescentar algumas letras maiúsculas para implementar maior segurança, bem como pontuação, espaços (sim, é possível!) e blocos de letras maiúsculas.

Medidas que visam aumentar a segurança das suas senhas são resumidas pela ESET nestes tópicos a seguir:

  • Senhas curtas são ruins. Senhas na forma de frases longas são boas;
  • Nunca reutilizar uma senha antiga;
  • Usar autenticação de dois fatores para segurança adicional;
  • Assegurar que para cada conta existe uma senha própria;
  • Alterar periodicamente as suas senhas;
  • Usar um bom gerenciador de senhas de sua preferência.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Wintech

Em breve senhas poderão ser dispensadas

gerenciadores_senhasPrincipal organização de padronização da internet, a W3C formou um novo grupo com o objetivo de acabar de vez com a necessidade de utilizarmos senhas em quaisquer serviços online. Com o nome Web Authentication Working Group Charter (WAWGC), a equipe vai trabalhar para mudar a forma como fazemos login.

A ideia é encontrar uma maneira de permitir que os usuários sejam autenticados de uma forma segura, mas sem que eles tenham que usar senhas memorizadas ou anotadas em algum lugar. Para isso, eles pretendem encorajar a adoção de verificação em duas etapas e de chaves únicas para cada dispositivo.

Uma das maneiras por meio das quais o WAWGC pretende eliminar as senhas é a criação de uma API para navegadores que permita que os serviços usem um par de chaves de autenticação para provar quem você é com base no dispositivo que esteja utilizando para fazer seu login. Uma proposta submetida em 2015 por engenheiros da Google, Microsoft e PayPal, chamada FIDO 2.0, vai ser usada como a base para o novo padrão.

Meu celular, minha vida
De acordo com a ideia original, uma mensagem apareceria quando você tentasse acessar um site, solicitando que você utilize seu celular para se identificar. Feito isso, sua conta seria aberta de forma segura no seu computador. Caso você perca seu dispositivo, a credencial é prontamente desativada até que você possa refazer seu registro.

Se a proposta for levada adiante sem modificações, isso poderia resultar em alguns transtornos em situações em que seu dispositivo for esquecido em casa ou quando ficar sem bateria, mas ainda é muito cedo para dizer que outras medidas serão adotadas pelo time para evitar essas situações. Na chefia do grupo estão o chefe de segurança do Firefox, Richard Barnes, e um arquiteto associado da Microsoft, Anthony Nadalin.

O novo padrão deve ser submetido para aprovação em dezembro de 2016, mesmo que seja prontamente aprovado, ainda deve levar alguns anos até que seja levado para todos os navegadores. Ainda assim, é interessante ver como os responsáveis pela internet do mundo todo estão tentando aumentar a segurança de todos nós.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo