O gerenciador de senhas open-source Bitwarden está adicionando uma camada extra de segurança para contas que não estão protegidas por autenticação de dois fatores (two-factor authentication - 2FA), exigindo verificação por e-mail antes de permitir acesso às contas.
Quando uma tentativa de login potencialmente suspeita é detectada, como de um dispositivo não reconhecido, o usuário agora será solicitado a confirmar a ação inserindo um código de verificação recebido via e-mail.
Aqueles que falharem em fornecer o código não poderão acessar o cofre de senhas.
"A partir de fevereiro, o Bitwarden vai reforçar a segurança da conta dos usuários que não estão utilizando o login em duas etapas (2FA) para sua conta no Bitwarden," diz o anúncio.
"Ao fazer login de um dispositivo não reconhecido, os usuários serão solicitados por um código de verificação enviado por e-mail para confirmar a tentativa de login e proteger melhor seus cofres Bitwarden."
Esta etapa de segurança é uma forma de autenticação de dois fatores, então, essencialmente, o Bitwarden está impondo isso mesmo para aqueles que não o ativaram por conta própria.
Embora isso vá proporcionar proteção adicional, a melhor abordagem seria habilitar a autenticação multifator (multi-factor authentication) via aplicativos autenticadores ou, ainda melhor, chaves compatíveis com FIDO (FIDO-compliant passkeys).
Ativar qualquer método de 2FA ou usar API keys ou SSO para fazer login automaticamente exclui os usuários deste novo mecanismo de segurança.
Instâncias auto-hospedadas também são excluídas.
Como o Bitwarden explicou em uma página de FAQ separada, os seguintes eventos acionarão o prompt de código extra:
- Fazer login de um novo dispositivo
- Reinstalar o aplicativo móvel ou de desktop
- Limpar os cookies do navegador web
O Bitwarden está ciente de uma subcategoria de usuários que armazenam suas credenciais de e-mail dentro do cofre do gerenciador de senhas e alerta sobre os problemas práticos que surgem do novo passo de verificação a ser introduzido na próxima semana.
Para evitar serem bloqueados tanto de seus e-mails quanto das contas Bitwarden, os usuários precisam garantir que têm acesso independente às suas credenciais de e-mail ou simplesmente habilitar o 2FA em suas contas Bitwarden.
Este passo extra de segurança não deve ser considerado uma desculpa para usar senhas mestras fracas ou reciclar senhas.
Os usuários devem garantir que sua senha mestra é difícil de ser descoberta por força bruta ao escolher algo longo e único e incluir diferentes tipos de caracteres.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...