Se você imagina gerenciadores de senha como cofres impenetráveis na nuvem, é hora de reconsiderar. Esses serviços, baseados em Encriptação Zero-Knowledge, prometem que os dados do usuário são invisíveis até para a própria empresa. No entanto, uma pesquisa das Universidades de Zurique e da Svizzera Italiana revelou que essa promessa não é tão sólida quanto parece.
Vulnerabilidades expõem riscos nos gerenciadores de senha
Liderado por Kenneth Paterson, o estudo identificou 27 ataques bem-sucedidos em aplicativos populares como Bitwarden (12), LastPass (7) e Dashlane (6). As táticas utilizadas demonstraram que é possível “abrir o cofre” das senhas dos usuários com relativa facilidade.
Vale destacar que as empresas tiveram um período de 90 dias para corrigir as falhas antes da divulgação dos resultados. Dashlane e Bitwarden já lançaram atualizações em resposta às vulnerabilidades identificadas.
Como as falhas funcionam
Na prática, os resultados desmentem a promessa de Zero-Knowledge. Servidores hackeados podem ser “convencidos” a trair o usuário, principalmente devido à falha dos aplicativos em verificar se os dados do servidor central foram alterados. Isso é conhecido como “falta de integridade no texto cifrado” e “ligação criptográfica”, onde metadados, como a URL, não são mantidos distantes de dados sensíveis, como a senha, de maneira satisfatória.
Nos apps Bitwarden e LastPass, os pesquisadores mostraram que, como os logins são guardados em peças diferentes (nome de usuário, senha e URL), um hacker no servidor consegue trocá-los. Mover a senha encriptada para o lugar da URL faz com que o serviço, acidentalmente, envie a senha desencriptada ao servidor do invasor com a simples ação de carregar um ícone do site.
Outros ataques exploraram ferramentas como recuperação e compartilhamento de conta. Um deles força o usuário a se juntar a uma organização falsa: já que o app não autentica chaves públicas, ele pode confiar cegamente no servidor e encriptar a chave mestra junto à chave do atacante, dando um texto cifrado de recuperação na mão dos hackers.
Um problema de legado ainda mantinha métodos de segurança de 15 anos atrás ativos, para retrocompatibilidade, permitindo a “adivinhação” de dados.
Qual gerenciador de senha é mais seguro?
Os serviços Bitwarden, LastPass e Dashlane revelaram fraquezas, enquanto o 1Password se mostrou o mais seguro: com a tecnologia de Chave Secreta, o código para acessar os dados fica no aparelho do usuário, impossibilitando a maioria dos ataques por servidor.
Os pesquisadores recomendam usar o serviço de Chave Secreta ou uma chave de segurança de hardware, como a YubiKey, que adiciona uma camada física de segurança. Usuários dos apps vulneráveis devem atualizá-los o mais rápido possível.
Como se proteger
Além de manter seus aplicativos atualizados, considere adotar medidas extras de segurança, como autenticação de dois fatores e o uso de chaves de hardware. Ficar atento a novos golpes e vulnerabilidades também é fundamental para proteger suas informações sensíveis.
Se você utiliza um destes gerenciadores de senha, é crucial estar informado sobre os riscos e as melhores práticas de segurança. A proteção de suas senhas começa com a escolha de ferramentas confiáveis e a adoção de hábitos seguros online.