Confira os detalhes do caso em que a Polícia queria entrar no gerenciador de senhas de um usuário e não conseguiu, porque esse tipo de software é inviolável.
Backdoors agrupados em produtos de software e hardware vendidos nos Estados Unidos sempre foram um assunto controverso, com estigma de teoria da conspiração.
E agora, há uma grande chance de eles virem às manchetes mais uma vez, após uma tentativa malsucedida de aplicação da lei de acessar os detalhes de login de um criminoso suspeito.
Polícia queria entrar no gerenciador de senhas de um usuário e não conseguiu
A Drug Enforcement Administration, ou a DEA (Drug Enforcement Administration – Administração de Repressão às Drogas), entrou em contato com a LastPass, fabricante de um dos mais avançados gerenciadores de senhas, pedindo os detalhes de um usuário chamado Stephan Caamano.
O homem, segundo documentos oficiais, estava sob investigação por tráfico de drogas falsificadas e lavagem de dinheiro.
A polícia acreditava que Caamano estava armazenando todos os seus logins e senhas no LastPass, então eles queriam entrar em suas contas para procurar mais informações que pudessem ser usadas como prova no tribunal.
- Lightning Framework, um novo malware Linux que instala rootkits, backdoors
- Como instalar o gerenciador de tokens Nitrokey-app no Linux via Snap
- Galaxy Z Flip 5 e Fold 5 Recebem Atualização de Segurança de Dezembro
Mas ao pedir ao LastPass para fornecer acesso aos dados do suspeito, tudo o que eles obtiveram foi um grande ‘não, não podemos fazer isso’.
A resposta foi essa porque, como o próprio LastPass explicou, os gerenciadores de senhas como este não armazenam chaves de criptografia nos servidores da empresa, pois todos os dados são descriptografados no dispositivo do usuário.
Em outras palavras, eles só podem ser acessados a partir do dispositivo em que o gerenciador de senhas está instalado e somente quando a senha mestra é fornecida.
Segundo a Forbes, um porta-voz do LastPass explicou da seguinte forma:
“As senhas de usuários armazenadas nos servidores da LogMeIn são feitas apenas em um formato criptografado. A única maneira de serem descriptografados fica do lado do usuário e a maneira como isso acontece – a chave de descriptografia – é a senha mestra do usuário (usada para fazer login no LastPass), que nunca é recebida ou está disponível para o LogMeIn/LastPass. Em outras palavras, não temos meios de descriptografar as informações de senha do usuário do nosso lado e, portanto, não podemos fornecer essas senhas”
O LastPass não é o único gerenciador de senhas impossível de invadir. O Enpass, por exemplo, armazena todos os dados localmente e pode sincronizar com os serviços em nuvem para facilitar o acesso de vários dispositivos.
No entanto, os dados são bloqueados com uma senha mestra usada para descriptografia e que não é registrada e armazenada em nenhum lugar.
Depois que a senha mestra é perdida, não há como recuperá-la e os dados ficam bloqueados para sempre.
Neste caso, o LastPass apenas forneceu a lei com o endereço IP do suspeito, bem como detalhes sobre os últimos logins.
Quanto ao processo, o homem se declarou inocente e o julgamento está marcado para maio. Obviamente que a policia encontrará um meio de provar os crimes, sem ter que destruir a segurança de um gerenciador de senha.
O que está sendo falado no blog
- Conheça os melhores jogos de azar para você se divertir
- Entroware atualizou seus laptops Linux com CPUs Intel 8ª Geração
- Como instalar o Simple Weather Indicator no Ubuntu
- Como instalar o editor de propósito geral Howl no Linux via Flatpak
- Polícia queria entrar no gerenciador de senhas de um usuário e não conseguiu