A LastPass criou um popular gestor de palavras-passe utilizado por milhões de consumidores e centenas de milhares de empresas em todo o mundo. Proteger a segurança e a privacidade dos dados dos clientes é vital para a missão da LastPass e, nos últimos 18 meses, investimos muito tempo e esforço para fortalecer a nossa segurança, sem sacrificar a experiência do utilizador, ao mesmo tempo que melhorámos as operações de segurança e a privacidade em geral.
Estas melhorias continuam hoje com a criptografia de URLs nos cofres da LastPass.
Porque é que estamos a fazer esta mudança – e porquê agora? Continue a ler para obter informações e atualizações sobre a criptografia de URL, como funciona e por que acreditamos que ela ajudará os nossos utilizadores a melhor proteger seus cofres.
O percurso para a encriptação de URLs
Hoje, sempre que utiliza o gestor de palavras-passe da LastPass, o URL do site que está a visitar no seu browser tem de ser comparado com as entradas guardadas no cofre da LastPass para determinar se os campos podem e devem ser preenchidos automaticamente. Para isso, os URLs do seu browser são comparados com os campos de URL não encriptados dentro do cofre. Assim que a correspondência é feita, a LastPass faz sua mágica.
Historicamente, os URLs não são encriptados nos cofres porque, quando a LastPass foi criado, em 2008, a tecnologia era muito diferente da atual. A desencriptação era uma ação intensiva em termos de computação e memória que afetava negativamente o desempenho em PCs e dispositivos móveis de baixa potência, muitas vezes resultando em lentidão na experiência do utilizador e consumo de bateria em dispositivos móveis.
Para maximizar o desempenho e a experiência do utilizador, a LastPass não encriptou os URLs nos cofres para garantir que o desempenho e a experiência do utilizador fossem aceitáveis. Com o tempo, outras funcionalidades de correspondência de URL, como o recurso de domínios equivalentes, foram criadas com base nessa lógica.
Felizmente, essas restrições de computador e memória não existem mais na maioria dos dispositivos atuais. Agora, é possível encriptar com segurança todos os campos relacionados a URLs no cofre do LastPass sem prejudicar a experiência do utilizador.
Porque é que a encriptação de URL é importante?
É possível que os URLs contenham detalhes sobre a natureza das contas associadas às suas credenciais armazenadas (por exemplo, bancos, e-mail, redes sociais).
A encriptação de URLs associados às suas contas, tal como qualquer outro campo privado no cofre da LastPass, expandirá a nossa arquitetura de conhecimento zero e aumentará a privacidade do cliente, ajudando também a reduzir ainda mais o risco ao garantir que os URLs relacionados com serviços ou contas específicos guardados no seu cofre permaneçam privados.
A inclusão da encriptação de URLs exigiu que reformulássemos a engenharia do LastPass para que praticamente todos os componentes do cliente e do back-end funcionassem de forma diferente. Esse tipo de mudança não acontece de um dia para o outro, no entanto, temos feito progressos significativos e estamos animados para começar a fornecer a encriptação de URLs.
O que é que os clientes devem esperar?
Haverá duas fases para a implementação da encriptação de URL: A primeira fase deverá estar concluída em junho, com a implementação a começar em julho. Nessa altura, tanto os utilizadores pessoais como os administradores de empresas receberão emails com detalhes sobre o que esperar, e começaremos a encriptar automaticamente os campos de URL primários das contas existentes armazenadas nos seus cofres, bem como quaisquer contas novas ou editadas após a alteração ser efectuada. Também aproveitaremos essa oportunidade para excluir um campo de URL legado duplicado e desnecessário.
A fase seguinte, que deverá ser concluída na segunda metade de 2024, terá como foco a encriptação automática dos seis campos relacionados a URLs restantes armazenados nos cofres da LastPass. A lista completa dos oito campos relacionados a URLs pode ser encontrada aqui.
É importante ressaltar por enquanto que os clientes e administradores não precisam realizar nenhuma ação. No próximo mês, enviaremos instruções passo a passo aos utilizadores do plano pessoal e do plano empresarial, explicando como concluir a atualização inicial da encriptação de URL e como se preparar para a encriptação de todos os restantes campos de URL no cofre ainda este ano. Também ofereceremos orientação prescritiva para funcionalidades específicas dos administradores do plano LastPass Business.
O nosso compromisso com a segurança
A criptografia de URL representa mais um marco significativo na conclusão de nossa longa jornada para reforçar e fortalecer ainda mais o nosso cofre de gestão de palavras-passe sem sacrificar a experiência do utilizador final. Dito isso, reconhecemos que a segurança cibernética continua representando uma viagem, não um destino, e temos o compromisso de continuar a construir uma LastPass baseada em inovação, segurança, privacidade e confiança.
Post original aqui.
