Nós fizemos uma análise sobre ele e, aqui, você vai conferir se essa é uma boa opção para armazenar e gerenciar suas senhas.
O LastPass é seguro?
O LastPass é um gerenciador de senhas, o que significa que ele vai armazenar todas as suas senhas em um único lugar. Por um lado, colocar todas as suas senhas em um único espaço significa que, se alguém violar a segurança, terá acesso a todas elas com uma tacada só.
Entretanto, o LastPass oferece segurança com boa criptografia que protege não só suas senhas, mas também armazena suas informações de pagamento e endereços de entrega, por exemplo.
Além disso, ele conta com extensões para navegadores que preenchem automaticamente suas senhas para facilitar seu acesso às suas contas. O LastPass não só armazena, mas também gera senhas únicas e fortes de forma aleatória cada vez que você acessa plataformas sensíveis.
O programa te avisa se você usar a mesma senha para muitas contas, além de manter registros digitais como a senha do seu Wi-Fi.
Senha mestra
O LastPass exige uma “senha mestra” de no mínimo 12 dígitos (e que atenda aos parâmetros de segurança do programa) para que você possa criar uma conta no gerenciador.
A senha é criptografada e se você perdê-la ou se esquecer dela, o LastPass não vai conseguir recuperá-la. Logo, não tem alternativa: você não pode perder essa senha e ponto final. Mesmo que o LastPass seja atacado, isto significa que sua senha principal não será roubada, já que ela nem é armazenada.
Ele também utiliza PBKDF2-SHA256 (um tipo de criptografia que dificulta ataques do tipo força bruta) para proteger sua senha mestra. Então, se um hacker tentar invadir sua conta, com essa criptografia, ele vai ter muito mais dor de cabeça.
Há também a autenticação de multifatores, o que exige verificações adicionais (um código por SMS, um gerado no app ou até sua impressão digital) para você entrar na sua conta, o que também dificulta invasões.
Além de exigir uma senha mestra, o LastPass melhora a segurança da sua conta com uma autenticação multifatorial que também inclui a opção de senhas de uso único (OTP, sigla para one-time password). As senhas OTP adicionam uma camada extra de segurança ao gerar um código temporário que precisa ser digitado juntamente com a senha convencional, o que garante que o acesso só seja permitido para quem conseguir fazer a verificação de identidade através de vários canais.
Criptografia
O LastPass possui uma boa criptografia de ponta-a-ponta, o que significa que suas informações são criptografadas antes de sair do seu dispositivo, durante o envio e depois da transmissão. A criptografia é do tipo TLS, usada para transferir dados entre seus dispositivos e os servidores, te protegendo contra ataques do tipo man-in-the-middle.
E, além da TLS, há também a criptografia AES de chaves de 256 bits para proteger os dados armazenados nos servidores da LastPass, o mesmo padrão de encriptação usado por bancos, instalações militares e serviços de VPN, como a NordVPN por exemplo.
Eles também mantêm a política de não manter registros dos usuários (zero-knowledge). Nem mesmo os funcionários da LastPass podem ver suas informações.
Os proprietários da LastPass
Grande parte da segurança de um software reside em quem de fato controla o programa/sistema. A LastPass é propriedade da LogMeIn, que comprou o programa por $110 milhões de dólares.
Embora haja críticas sobre a empresa que é dona da LastPass, até o momento não há comprovação material ou indício de que a empresa tenha usado os dados dos usuários de maneira indevida. Além do LastPass, a LogMeIn é dona de outros produtos e serviços de segurança cibernética e acesso remoto (incluindo videoconferência).
O LastPass pode ser hackeado?
Com as criptografias TLS, AES e PBKDF2-SHA256, vários fatores para autenticação, exigência de uma senha forte e uma política de não manter registros dos usuários, o LastPass possui um nível de segurança muito forte. Não dá para afirmar que um ataque contra ele seja impossível porque nenhum sistema de segurança é 100% perfeito, mas é algo praticamente inviável.
O que pode acontecer é um criminoso (ou uma pessoa qualquer) conseguir acessar sua senha mestra e, aí sim, invadir sua conta. O LastPass descobriu várias atividades indevidas nos servidores deles ainda em 2015, justamente por imprudência dos usuários em relação à senha principal.
Na ocasião, a empresa foi bem transparente, não só avisando as pessoas prejudicadas, como dando instruções para a alteração de senhas e melhorias para protegê-las contra essas invasões (adotando também, medidas adicionais para proteger ainda mais seus clientes).
Invista na sua segurança
Não existe nenhum programa, sistema ou solução de segurança que sejam perfeitos. Mas o LastPass é uma opção válida, profissional, segura e confiável. Mas é preciso tomar a iniciativa e adotar comportamentos para melhorar sua segurança digital, como:
- Criar senhas fortes e únicas para cada acesso seu (e jamais compartilhá-las com terceiros);
- Não deixar o LastPass logado sempre, já que alguém pode usar seu dispositivo caso ele não esteja protegido e acessar suas senhas através dele. Se sua conta estiver logada, saia da conta sempre que não usar o programa e/ou o dispositivo;
- Seu dispositivo precisa sempre estar protegido: atualize seus programas, use um bom antivírus, um firewall sempre ativo e use uma VPN profissional.
Conheça outras alternativas
O LastPass é uma ótima opção no mercado de gerenciador de senhas, mas não é a única. Há boas alternativas, como o NordPass, da NordVPN.
Além da ótima criptografia do algoritmo XChaCha20 e uma política de não manter nenhum registro dos usuários (zero-logs/zero-knowledge). A NordPass é auditada e verificada por terceiros independentes e imparciais.
A NordPass conta com versões diferentes: uma gratuita e outra premium, com valores a partir de $3 dólares por mês. Todas as versões sincronizam suas senhas entre seus diferentes dispositivos, mas a vantagem da versão paga é que ela te permite acessar o gerenciador em até outros 5 dispositivos simultaneamente, além de um Breach Scanner que te informa se algum dos seus dados for comprometido.
Você com certeza tem um bom parâmetro de comparação para fazer sua escolha e usar um gerenciador seguro, confiável e funcional.