Para melhorar a segurança dos seus usuários, o LastPass agora exige senhas mestras de 12 caracteres. Sim. Agora é obrigatório.
A LastPass notificou os clientes que agora eles são obrigados a usar senhas mestras complexas com no mínimo 12 caracteres para aumentar a segurança de suas contas.
Embora a LastPass tenha dito repetidamente que existe um requisito de senha mestra de 12 caracteres desde 2018, os usuários puderam usar uma senha mais fraca.
“Historicamente, embora uma senha mestra de 12 caracteres seja a configuração padrão do LastPass desde 2018, os clientes ainda tinham a capacidade de renunciar às configurações padrão recomendadas e optar por criar uma senha mestra com menos caracteres, se assim o desejassem”, LastPass disse em um novo anúncio hoje.
O LastPass começou a impor um requisito de senha mestra de 12 caracteres desde abril de 2023 para novas contas ou redefinições de senha, mas contas mais antigas ainda podem usar senhas com menos de 12 caracteres.
Mas, a partir deste mês, o LastPass está aplicando o requisito de senha mestra de 12 caracteres para todas as contas.
LastPass agora exige senhas mestras de 12 caracteres
Sim. Agora o LastPass agora exige senhas mestras de 12 caracteres, obrigatoriamente, para melhorar a segurança dos seus usuários.
Além disso, o LastPass acrescentou que também começará a verificar senhas mestras novas ou atualizadas em um banco de dados de credenciais previamente vazadas na dark web para garantir que não correspondam a contas já comprometidas.
Se uma correspondência for encontrada, os clientes serão alertados por meio de um pop-up de aviso de segurança e solicitados a selecionar outra senha para bloquear futuras tentativas de cracking.
Como parte do mesmo esforço para aumentar a segurança da conta, o LastPass também iniciou um processo de reinscrição forçada de autenticação multifator (MFA) em maio de 2023, o que fez com que muitos usuários enfrentassem problemas significativos de login e tivessem suas contas bloqueadas.
“Essas mudanças incluem exigir que os clientes atualizem o comprimento e a complexidade de sua senha mestra para atender às melhores práticas recomendadas e solicitar que os clientes registrem novamente sua autenticação multifator (MFA), entre outros”, disse Mike Kosak, analista principal sênior de inteligência do LastPass.
“A partir de janeiro de 2024, o LastPass imporá a exigência de que todos os clientes usem uma senha mestra com pelo menos 12 caracteres.”
“No próximo mês, o LastPass também iniciará verificações imediatas de senhas mestras novas ou redefinidas em um banco de dados de credenciais violadas conhecidas, a fim de garantir que a senha não tenha sido anteriormente exposta na Dark Web.”
LastPass disse que os clientes B2C começarão a receber e-mails sobre essas mudanças agora, e os clientes B2B os receberão em 10 de janeiro.
Senhas mestras quebradas após violação de 2022
Essas medidas são resultado direto de duas violações de segurança do LastPass divulgadas em agosto de 2022 e novembro de 2022.
Em agosto, a empresa confirmou que seu ambiente de desenvolvedor foi violado por meio de uma conta de desenvolvedor comprometida depois que os invasores invadiram o laptop corporativo de um engenheiro de software.
Durante a violação, eles roubaram código-fonte, informações técnicas e alguns segredos internos do sistema LastPass.
As informações roubadas neste incidente foram posteriormente usadas por agentes de ameaças na violação de dezembro, quando eles também roubaram dados do cofre do cliente de seus buckets criptografados do Amazon S3 após comprometer o computador de um engenheiro sênior de DevOps usando uma vulnerabilidade de execução remota de código para instalar um keylogger.
Em outubro de 2023, hackers roubaram US$ 4,4 milhões em criptomoedas de mais de 25 vítimas usando chaves privadas e senhas que puderam extrair de bancos de dados LastPass roubados em violações do LastPass em 2022.
De acordo com uma pesquisa do desenvolvedor do MetaMask, Taylor Monahan e ZachXBT, acredita-se que os agentes da ameaça agora estejam quebrando senhas mestras roubadas do LastPass para obter acesso à senha.
Usando esse acesso, os agentes da ameaça procuram senhas, credenciais e chaves privadas de carteiras de criptomoedas e as usam para carregar as carteiras em seus próprios dispositivos para drenar todos os fundos.
A LastPass afirma que sua solução de gerenciamento de senhas é usada agora por mais de 33 milhões de pessoas e 100.000 empresas em todo o mundo.