O LastPass notificou seus clientes hoje que agora eles são obrigados a usar senhas mestras complexas com um mínimo de 12 caracteres para aumentar a segurança de suas contas.
Embora LastPass tenha repetido várias vezes desde 2018 que há a exigência de uma senha mestra de 12 caracteres, os usuários tiveram a possibilidade de usar uma mais fraca.
"Historicamente, embora uma senha mestra de 12 caracteres tenha sido a configuração padrão do LastPass desde 2018, os clientes ainda tinham a opção de ignorar as configurações padrão recomendadas e optar por criar uma senha mestra com menos caracteres, se desejassem fazê-lo", disse o LastPass em um novo anúncio hoje.
O LastPass começou a aplicar a exigência de senha mestra de 12 caracteres desde abril de 2023 para novas contas ou redefinições de senha, mas contas mais antigas ainda podiam usar senhas com menos de 12 caracteres.
A partir deste mês, o LastPass está agora aplicando a exigência de senha mestra de 12 caracteres para todas as contas.
Além disso, o LastPass acrescentou que também começará a verificar novas senhas mestras ou atualizadas contra um banco de dados de credenciais já vazadas na dark web para garantir que não coincidam com contas já comprometidas.
Se uma coincidência for encontrada, os clientes serão alertados por meio de um pop-up de aviso de segurança e solicitados a selecionar outra senha para bloquear tentativas futuras de quebra.
Como parte do mesmo esforço para aumentar a segurança da conta, o LastPass também iniciou um processo de reinscrição forçada de autenticação de múltiplos fatores (MFA) em maio de 2023, que levou muitos usuários a experimentarem problemas significativos de login e a ficarem bloqueados de suas contas.
"Essas mudanças incluem exigir que os clientes atualizem o tamanho e a complexidade de suas senhas mestras para atender às melhores práticas recomendadas e solicitando que os clientes reinscrevam sua autenticação de múltiplos fatores (MFA), entre outras", disse Mike Kosak, analista sênior principal de inteligência do LastPass.
"A partir de janeiro de 2024, o LastPass aplicará a exigência de que todos os clientes usem uma senha mestra com pelo menos 12 caracteres.
"No próximo mês, o LastPass também começará a fazer verificações imediatas em novas senhas mestras ou resetadas contra um banco de dados de credenciais conhecidas como violadas para garantir que a senha não tenha sido previamente exposta na Dark Web."
O LastPass informou ao BleepingComputer que os clientes B2C começarão a receber e-mails sobre essas mudanças hoje, os clientes B2B as receberão no dia 10 de janeiro.
Essas medidas são o resultado direto de duas violações de segurança que o LastPass divulgou em agosto de 2022 e novembro de 2022.
Em agosto, a empresa confirmou que seu ambiente de desenvolvimento foi violado por meio de uma conta de desenvolvedor comprometida após os invasores invadirem o laptop corporativo de um engenheiro de software.
Durante a violação, eles roubaram código-fonte, informações técnicas, e alguns segredos de sistema interno do LastPass.
A informação roubada nesse incidente foi usada mais tarde pelos atores de ameaças na violação de dezembro, quando também roubaram dados de cofres de clientes de seus buckets criptografados da Amazon S3 depois de comprometerem o computador de um engenheiro sênior de DevOps usando uma vulnerabilidade de execução de código remoto para instalar um keylogger.
Em outubro de 2023, hackers roubaram 4,4 milhões de dólares em criptomoedas de mais de 25 vítimas usando chaves privadas e frases-senhas que eles conseguiram extrair dos bancos de dados do LastPass roubados nos ataques de 2022.
De acordo com a pesquisa do desenvolvedor do MetaMask, Taylor Monahan, e ZachXBT, acredita-se que os atores de ameaças estão agora quebrando as senhas mestras do LastPass para ganhar acesso à senha.
Usando esse acesso, os atores de ameaças procuram frases-senhas de carteiras de criptomoedas, credenciais e chaves privadas, e as usam para carregar as carteiras em seus próprios dispositivos para esvaziá-las de todos os fundos.
O LastPass diz que sua solução de gerenciamento de senhas agora é usada por mais de 33 milhões de pessoas e 100.000 empresas em todo o mundo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...