[Amagami]

fui pesquisar e pelo jeito tem várias formas de recuperar...
https://support.logmeininc.com/lastpass/...d-lp020010

pra mim isso cria brecha de segurança...
bem que poderia sumir com todas esses formas de recuperação...

Mas todas essas formas de recuperação partem do pressuposto que o usuário ainda tem acesso a conta, ou tem acesso a métodos de recuperação cadastrados por decisão ele.

- Mobile account recovery allows you to use fingerprint identification or facial recognition for iOS or Android to reset your Master Password using biometrics if it is ever forgotten. (Você precisa estar logado no APP do seu celular, com método de fingerprint ou facial recognition)

- Did you previously set up a Master Password hint/reminder? (Aquele campo de dica de senha, você ainda tem que lembrar ela haha).

- Have you changed your Master Password within the last 30 days? (Eles podem resetar sua senha para uma senha antiga de 30 dias atrás... Mas eles só restauram um snapshot, você perde tudo que fez após alterar a senha. Pra solicitar isso você precisa ter acesso ao seu e-mail. ESSE eu acho uma falha de segurança.)

- Did you previously set up SMS account recovery? (Não é seguro, mas se você cadastrou o SMS é pq tem interesse).

- Have you logged in to the LastPass web browser extension at least once from any browser? (Tem que estar logado em algum dispositivo).

- If you still cannot recover your Master Password using any of the options above... (A solução deles é criar outra conta).

[martec]

Mas todas essas formas de recuperação partem do pressuposto que o usuário ainda tem acesso a conta, ou tem acesso a métodos de recuperação cadastrados por decisão ele.

- Mobile account recovery allows you to use fingerprint identification or facial recognition for iOS or Android to reset your Master Password using biometrics if it is ever forgotten. (Você precisa estar logado no APP do seu celular, com método de fingerprint ou facial recognition)

- Did you previously set up a Master Password hint/reminder? (Aquele campo de dica de senha, você ainda tem que lembrar ela haha).

- Have you changed your Master Password within the last 30 days? (Eles podem resetar sua senha para uma senha antiga de 30 dias atrás... Mas eles só restauram um snapshot, você perde tudo que fez após alterar a senha. Pra solicitar isso você precisa ter acesso ao seu e-mail. ESSE eu acho uma falha de segurança.)

- Did you previously set up SMS account recovery? (Não é seguro, mas se você cadastrou o SMS é pq tem interesse).

- Have you logged in to the LastPass web browser extension at least once from any browser? (Tem que estar logado em algum dispositivo).

- If you still cannot recover your Master Password using any of the options above... (A solução deles é criar outra conta).

obrigado por detalhar...
mesmo continuando achando que sem esses métodos poderia ser mais seguro...

sobre SMS é mesma coisa de "Have you logged in to the LastPass web browser extension at least once from any browser?"

https://support.logmeininc.com/lastpass?...2075873621

vai ter que ter SMS e estar logado no navegador... se n tiver SMS cadastrado vai ser via e-mail... nesse caso acho mais seguro cadastrar SMS... (Step 3)

[gusyavoo]

Minha senha sempre tem um prefixo complicado concatenado com um sufixo do site da senha.
Cadastros irrelevantes eu ponho a mesma senha simples.

[Amagami]

obrigado por detalhar...
mesmo continuando achando que sem esses métodos poderia ser mais seguro...

sobre SMS é mesma coisa de "Have you logged in to the LastPass web browser extension at least once from any browser?"

https://support.logmeininc.com/lastpass?...2075873621

vai ter que ter SMS e estar logado no navegador... se n tiver SMS cadastrado vai ser via e-mail... nesse caso acho mais seguro cadastrar SMS... (Step 3)

Eu concordo.
O processo de recuperar senha pode ser a maior vulnerabilidade... Eu prefiro que não tenha nenhuma maneira de recuperar.

No caso do Last Pass, eles também não sabem sua senha. Poderiam até alterá-la se quisessem, mas a nova senha não vai ser capaz de descriptografar o cofre antigo. Então partindo desse principio, você precisa estar logado em algum dispositivo para conseguir recuperar a senha sem perder o conteúdo do cofre. Então pelo menos existe esse nível de segurança.

O vacilo é que agora a gente sabe que eles guardam um snapshot do cofre por 30 dias quando você altera a senha. O snapshot tá criptografado com a senha antiga, claro. Mas e se você alterou a senha justamente pois alguém descobriu a senha antiga? Temos um problema aí.

---

Não sei como é por ai, mas por aqui não é um desafio clonar um número de celular. Ainda mais se tiver gente dentro da operadora. Claro que é um ataque extremamente direcionado que não acontece sem motivos, então não é nem justo fazer essa comparação. Um caso que lembro, relacionado a animes, é que o domínio do ANN foi roubado clonando o celular do dono do site e triggando a recuperação de senha via SMS.

[Roxas]

Não teria como recuperar, é computacionalmente inviável. Se você esquecer a senha master já era.

Os dados são criptografados/descriptografados por javascript no navegador ou app. O que o LastPass guarda é o conteúdo criptografado AES 256-bit.

Spoiler: Imagem  

O que muda realmente? Se descobrirem sua master password vc n ta ainda mais ferrado que antes?

[Amagami]

O que muda realmente? Se descobrirem sua master password vc n ta ainda mais ferrado que antes?

Sim. Se descobrirem sua senha é game over de qualquer jeito, não é?

Game over automático:
 

• Sua senha foi exposta;
  
• Acesso físico ao dispositivo (adulterar o bootloader, cold boot attack, etc.. ou simplesmente bisbilhotar).
  

---

Inclusive por isso acho que a recuperação de senha via outro dispositivo logado não é tão ruim. Se alguém tem acesso ao seu cofre aberto em algum dispositivo você já perdeu.

[martec]

Eu concordo.
O processo de recuperar senha pode ser a maior vulnerabilidade... Eu prefiro que não tenha nenhuma maneira de recuperar.

No caso do Last Pass, eles também não sabem sua senha. Poderiam até alterá-la se quisessem, mas a nova senha não vai ser capaz de descriptografar o cofre antigo. Então partindo desse principio, você precisa estar logado em algum dispositivo para conseguir recuperar a senha sem perder o conteúdo do cofre. Então pelo menos existe esse nível de segurança.

O vacilo é que agora a gente sabe que eles guardam um snapshot do cofre por 30 dias quando você altera a senha. O snapshot tá criptografado com a senha antiga, claro. Mas e se você alterou a senha justamente pois alguém descobriu a senha antiga? Temos um problema aí.

---

Não sei como é por ai, mas por aqui não é um desafio clonar um número de celular. Ainda mais se tiver gente dentro da operadora. Claro que é um ataque extremamente direcionado que não acontece sem motivos, então não é nem justo fazer essa comparação. Um caso que lembro, relacionado a animes, é que o domínio do ANN foi roubado clonando o celular do dono do site e triggando a recuperação de senha via SMS.

por aqui eu nunca ouvi incidente em clonar número de celular.
pra mim a confiança em e-mail tbm tem caido drasticamente, por vários vazamentos de grandes empresas.

[Zefiris]

Existe e-mail criptografado como o Tutanota. E se me lembro direito, só há um jeito de recuperar o acesso a ele.

[martec]

O que muda realmente? Se descobrirem sua master password vc n ta ainda mais ferrado que antes?

vc ta qurendo dizer se comparado ao sem usar gerenciamento de senhas.
seria mais seguro se vc tem poucos sites cadastrado e usam senhas fortes e diferentes em cada uma.
mas muita gente reaproveita, mesmo aqueles q n reaproveita usa senha parecida.
e sem contar que vc acaba esquecendo senha de sites q pouco frequenta.

gerenciador de site gera senha forte e diferente p/ cada site. mesmo que um desses site q vc está cadastrado venha ter vazamento, vc estará seguro. n precisa sair correndo mudar senha de todos os sites cadastrados.

tem vantagem acima. mas isso se vc tomar cuidado com master password. se n toda a vantagem vai ao brejo.

---

Existe e-mail criptografado como o Tutanota. E se me lembro direito, só há um jeito de recuperar o acesso a ele.

interessante. depois me infomo melhor.

[rapier]

Isso também, mas grafeno é o vibranium da marvel na vida real. Dá pra usar pra filtrar água, fazer colete à prova de bala, vidro indestrutível, semi-condutores, chips ultrarrápidos, superbaterias... todo ano o hype vem e some no mesmo dia.

Ao menos na tecnologia, um problema é que sempre é mais barato gambiarrizar em cima do já existente do que tentar revolucionar algo. Não só o uso do grafeno, mas a fotônica pra distâncias curtas (interconexão entre componentes do PC) também sofre com isso.