As principais taise de Zdnet:
- O plug-in LastPass agora pode impedir o acesso a aplicativos SaaS não aprovados.
- O recurso estende o monitoramento de tentativas de acesso a SaaS do plug-in.
- Autenticação da Passkey chegando no remaining do mês – ainda não suportada.
No início deste ano, o LastPass anunciou que estava adicionando a capacidade dos administradores de sua solução de gerenciamento de senhas para monitorar o uso do funcionário de SaaS ou aplicativos baseados na Net. Hoje, na Conferência de Segurança do Black Hat em Las Vegas, a empresa anunciou que estendeu esses recursos de monitoramento para que os administradores possam definir políticas que avisem ou obstruam os usuários durante as tentativas de autenticar com aplicativos SaaS não aprovados.
Os novos recursos de Identidade e Gerenciamento de Acesso SaaS (SaaS) estarão disponíveis até o remaining do mês para os clientes do Enterprise Max Tier do LastPass (atualmente US $ 9 por usuário por mês) sem nenhum custo adicional. A camada máxima de negócios já inclui os recursos de monitoramento.
De acordo com o diretor de produtos do LastPass, Don MacLennan, o novo recurso de gerenciamento de acesso a aplicativos SaaS possibilita que os administradores do LastPass permitam, avisar ou impedir que os usuários acessem determinados aplicativos SaaS. As detecções precisas das tentativas de acesso ao aplicativo SaaS são baseadas na presença do plug-in do navegador de gerenciamento de senhas LastPass, independentemente de qual navegador da internet o usuário remaining está usando.
Também: Os melhores geradores de senha de 2025: Skilled testado
Os plug-ins de gerenciamento de senhas (do LastPass e outros provedores de soluções de gerenciamento de senhas) geralmente recebem algumas das permissões de maior alcance depois de instaladas em um navegador. Eles não podem apenas inspecionar o conteúdo de qualquer página da internet que os usuários visitem em seus navegadores; Os plug-ins também podem alterar a aparência das páginas da Net e essencialmente assumir toda a experiência do usuário.
MacLennan disse ao ZDNet que, quando os usuários precisam ser avisados ou impedidos de usar um aplicativo SaaS, o plug-in pode apresentar uma caixa de diálogo modal personalizável que oferece ao usuário mais detalhes sobre o standing de sua tentativa. Hoje, essa caixa de diálogo pode ser programada com texto básico (os hyperlinks da Net precisam ser renderizados como URLs regulares), mas a empresa pode considerar as opções de formatação HTML no futuro.
“É uma versão 1.0 de um conjunto de recursos que se aprofundarão ao longo do tempo”, disse MacLennan à ZDNet, respondendo a uma pergunta sobre a possibilidade de usar a lista de permissões para permitir o acesso ao aplicativo.
Hoje, a solução “SaaS Defend” do LastPass mantém os aplicativos que descobre enquanto os funcionários tentam se autenticar com esses aplicativos, e os administradores podem definir uma política avançando para permitir, avisar ou bloquear durante futuras tentativas por funcionário. Avançando, MacLennan prevê que a articulação de políticas por grupo de trabalho com base no uso de serviços de diretório pela organização, como Microsoft ENTRA ID, OKTA, Google Workspace e outros serão possíveis.
“Com o tempo, teremos mais recursos”, disse MacLennan à ZDNET. “Os administradores poderão refinar os critérios que definem o que é permitido. Talvez um grupo da empresa deva fazer login em um aplicativo SaaS, mas não outro. Vamos continuar refinando a precisão pela qual esses blocos e permitirem que as políticas se manifestem”.
Também: Como funcionam as passagens: sua jornada sem senha começa aqui
É importante observar que o recurso SaaS Defend desencadeia a tentativa de autenticação de um usuário remaining, e não apenas uma tentativa de acessar um web site específico. Atualmente, o plug-in do LastPass monitora quatro tipos de autenticação: assinatura única (SSO), “abóbada”, “não vasculhada” e autenticações baseadas na Passkey.
Embora as autenticações baseadas na Passkey possam ser detectadas (por exemplo, se o usuário remaining se autenticar com uma pasta passada gerenciada pelo navegador), o plug-in do LastPass em si ainda não suporta a autenticação baseada na Passkey. Atualmente, esse recurso está na versão beta e deve ser lançado até o remaining do mês.
Uma autenticação abobadada acontece quando o usuário tenta autenticar com credenciais que são mantidas no contêiner de credenciais seguras do LastPass – referido como um “cofre”. Uma autenticação não abobadada acontece quando o usuário se autentica em algum web site usando credenciais que não são gerenciadas com o plug-in do LastPass Password Supervisor.
Também: Como sincronizar passagens no Chrome através do seu Android, iPhone, Mac ou PC (e por que você deveria)
Como o plug-in do Browser LastPass possui conhecimento geral e onisciente dos websites nos quais um usuário está fazendo login, ele também sabe quando as credenciais são provenientes de seu cofre e quando não estão.
Mas MacLennan também observou a necessidade de as organizações praticarem o gerenciamento de dispositivos herméticos. Por exemplo, os usuários não devem ser capazes de instalar sua própria escolha do navegador de uma maneira que possa evitar o olho atento do plug-in de gerenciamento de senhas do LastPass.
Fique à frente das notícias de segurança com Tecnologia hojeentregue à sua caixa de entrada todas as manhãs.
