O LastPass é seguro em 2026? Após as fugas — veredicto honesto

„O LastPass é seguro?" é uma pergunta justa a fazer em 2026, porque a resposta honesta é moldada por um evento real: a fuga de 2022. O LastPass ainda funciona e foi reforçado desde então, mas a sua confiança levou um duro golpe e muitos utilizadores migraram. Este guia explica o que realmente aconteceu, onde a encriptação aguentou e onde não, e se deve ficar ou mudar — com factos, sem alarmismo.

A resposta curta

• O LastPass encripta o seu cofre e suporta 2FA — não está „avariado" hoje.
• Mas em 2022, os atacantes roubaram backups encriptados dos cofres + metadados dos clientes.
• As palavras-passe mestras não foram roubadas, por isso uma palavra-passe mestra forte e única manteve os cofres seguros — as fracas podiam ser quebradas offline a partir das cópias roubadas.
• A confiança foi abalada; muitos utilizadores mudaram razoavelmente.

Portanto, „seguro" depende muito da robustez da sua palavra-passe mestra e de ter agido após a fuga.

O que aconteceu em 2022 (com factos)

Os atacantes acederam aos sistemas do LastPass e exfiltraram backups dos dados dos cofres dos clientes e metadados das contas (incluindo URLs guardados). Os campos secretos nos cofres estavam encriptados com a sua palavra-passe mestra, que o LastPass não armazena — portanto, a encriptação não foi diretamente derrotada. O perigo genuíno: qualquer pessoa que detenha uma cópia roubada do cofre pode tentar força bruta offline, o que é viável contra uma palavra-passe mestra fraca ou reutilizada. Daí o conselho pós-fuga: mudar a palavra-passe mestra e rodar as credenciais armazenadas.

Expôs as suas palavras-passe?

Não diretamente se a sua palavra-passe mestra fosse forte e única. Mas como os atacantes detêm cópias offline indefinidamente, as palavras-passe mestras fracas continuaram em risco ao longo do tempo, e os metadados não encriptados (como os URLs) foram expostos. Se foi afetado, trate as palavras-passe armazenadas de alto valor (email, banco, cripto) como potencialmente em risco e rode-as — veja o que fazer após uma fuga de dados para a resposta completa.

Porque é que um cofre roubado é perigoso: força bruta offline

Quando os atacantes detêm uma cópia do seu cofre encriptado, não há servidor que limite a frequência ou os bloqueie — podem adivinhar a sua palavra-passe mestra offline, tão depressa quanto o hardware permitir, durante o tempo que quiserem. Duas coisas determinam se conseguem:

• Robustez da palavra-passe mestra. Uma palavra-passe curta ou reutilizada cai rapidamente perante uma lista de palavras ou um ataque de força bruta; uma frase-passe longa e aleatória fica praticamente fora de alcance.
• Iterações de derivação da chave (PBKDF2). Um gestor de palavras-passe estica a sua palavra-passe mestra ao longo de muitas rondas de hashing para que cada tentativa seja dispendiosa. As contas LastPass mais antigas estavam configuradas com muito menos iterações do que as recomendações atuais, o que enfraquece a resistência offline. Se ficou, abra as definições de segurança e aumente o número de iterações para o valor predefinido atual, depois mude a palavra-passe mestra para que seja reencriptada com a definição mais robusta.

É por isto que o conselho pós-fuga não é paranoia: um cofre roubado mais uma palavra-passe mestra fraca é um comprometimento em câmara lenta.

Ficar ou mudar?

• Se ficar: garanta uma palavra-passe mestra longa e única, ative a 2FA e confirme que rodou as credenciais importantes desde 2022.
• Se mudar: os gestores auditados de conhecimento zero sem um incidente comparável são fortes — veja as melhores alternativas ao LastPass 2026 e se os gestores de palavras-passe são seguros.

Esta é uma decisão de confiança e tolerância ao risco, não a afirmação de que o LastPass é inutilizável hoje.

Uma configuração mais segura, seja qual for a sua escolha

• Uma palavra-passe mestra forte e única (uma frase-passe) — veja o que é uma frase-passe.
• 2FA no cofre: aplicação de autenticação ou chave de hardware — veja melhores aplicações de autenticação.
• Palavras-passe únicas por site, geradas pelo gestor, para que uma fuga nunca se propague em cascata.

As opções auditadas de conhecimento zero — NordPass, Bitwarden, 1Password, Proton Pass — encaixam todas neste modelo.

Se usou o LastPass: a sua checklist

Quer fique ou saia, faça isto agora — uma cópia do cofre roubada em 2022 ainda existe algures:

1. Mude a sua palavra-passe mestra para uma frase-passe longa e única (isto reencripta o cofre).
2. Aumente o número de iterações PBKDF2 para o valor predefinido atual nas definições de segurança.
3. Ative a 2FA no cofre — uma aplicação de autenticação ou uma chave de hardware.
4. Rode primeiro as credenciais de alto valor — email, banco, cripto, depois tudo o que for reutilizado.
5. Se mudar: exporte o seu cofre, importe-o para um gestor auditado de conhecimento zero, depois elimine o cofre e a conta LastPass.

Trabalhe de cima para baixo por valor; não tem de rodar tudo de uma vez, mas faça as contas críticas hoje.

Conclusão

O LastPass em 2026 está utilizável mas com a confiança abalada: encripta cofres e suporta 2FA, mas o roubo de 2022 de backups encriptados dos cofres significa que a segurança depende de uma palavra-passe mestra forte e de ter rodado credenciais desde então. Ficar é defensável com uma palavra-passe mestra forte e 2FA; mudar para um gestor auditado de conhecimento zero com um histórico limpo é a escolha que muitos fizeram e é inteiramente razoável. De qualquer forma, uma frase-passe mestra longa mais 2FA são inegociáveis.

Avaliação editorial baseada na fuga do LastPass de 2022 publicamente documentada (backups encriptados dos cofres e metadados exfiltrados; palavras-passe mestras não armazenadas) e no modelo padrão de conhecimento zero das alternativas. Expomos os factos do incidente com clareza e sem exagero. As ligações comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliação sem custo adicional para si.