Czas się przyznać: LastPass to już nie to samo. Oto dlaczego powinieneś przełączyć się na inną przechowalnię haseł
Miscellanea / / April 09, 2023
Czy widziałeś wiadomości, że hakerzy włamali się do LastPass i zdobyli hasła użytkowników? To tylko wierzchołek góry lodowej.
Lifehacker to miejsce, w którym zawsze możesz uzyskać przydatne porady. O zdrowiu, sporcie, pracy, technologii - dużo piszemy i często udzielamy rekomendacji. Jednak nie wszystkie z nich wytrzymują próbę czasu. Nawet najfajniejsze i najdoskonalsze usługi „blakną”, gadżety przestają się podobać, a popularne life hacki po prostu tracą na znaczeniu.
O wszystkim, co ostatecznie nas rozczarowało, porozmawiamy w nowej serii artykułów. A naszym pierwszym bohaterem jest menedżer haseł LastPass, który jest już dawno spóźniony.
Dawno, dawno temu LastPass był naprawdę dobry
LastPass to usługa z długą historią. Jego pierwsza wersja została wydana w 2008 roku. A rok później stał się jednym z liderów w swoim segmencie. Wielokrotnie okrzyknięto go najlepszym rozwiązaniem do przechowywania haseł – najwygodniejszym, najbardziej funkcjonalnym i niezawodnym. I przez długi czas tak było.
Lifehacker wielokrotnie polecał LastPass swoim czytelnikom. W końcu usługa jest naprawdę uniwersalna, z rozszerzeniami dla wszystkich popularnych przeglądarek i aplikacji mobilnych. Wszystkie hasła w nim zawarte są zaszyfrowane, przechowywane w „chmurze” i mogą być synchronizowane między urządzeniami.
Co najważniejsze, LastPass był szybki i oferował wszystko, czego możesz potrzebować, w tym złożony generator haseł, uwierzytelnianie dwupoziomowe i wypełniacz formularzy, dzięki czemu nie musisz niczego wpisywać ręcznie. A dla jednego typu urządzenia usługa była bezpłatna. Cóż, czy to jest fajne?
Problemy zaczęły się dawno temu. I to jest cała kula śnieżna
Na pewno widziałeś wiadomości, że LastPass zhakowany i hakerom się udało Dostawać zaszyfrowanych skarbcach haseł swoich klientów. To wydarzenia z ostatniego roku, które, jak się wydaje, bardzo nadszarpnęły reputację służby. Ale jeśli spojrzysz na problem bardziej globalnie, jest to dalekie od pierwszego ciosu dla LastPass.
Problemy z obsługą zaczęły się w 2011 roku. Potem deweloperzy odkryty anomalia w przychodzącym ruchu sieciowym, a następnie podobna anomalia w ruchu wychodzącym. Administratorzy nie wykryli żadnych oznak naruszenia bezpieczeństwa, ale nie byli też w stanie ustalić przyczyny przemieszczania się danych.
Firma nie uznała żadnych oficjalnych strat, ale dla usługi ochrony niezwykle cennych danych wezwanie było więcej niż alarmujące.
Aby zachować bezpieczeństwo, LastPass wymagał od niektórych użytkowników zmiany haseł głównych. A prezes firmy musiał usprawiedliwiać „nadmierną panikę”.
To był dopiero pierwszy sygnał, za którym nadeszły kolejne – z bardziej znaczącym uszczerbkiem na reputacji serwisu. Do kolejnego podejrzanego incydentu doszło w 2015 roku. Kolejna dziwna aktywność w firmowej sieci doprowadziła do wycieku adresów E-mail, wskazówki dotyczące haseł użytkowników i niektóre zahaszowane dane. Deweloperzy potwierdzony fakt włamania, ale zapewnił, że zaszyfrowane informacje pozostają pod kluczem.
Ponadto. W 2016 roku w LastPass pojawiła się luka, która umożliwiała dostęp do niezaszyfrowanych danych odkryty niezależna firma ds bezpieczeństwo w Internecie Wykryj. A w 2017 i 2019 biały haker Tavis Ormandy znalazł kilka dziur w rozszerzeniu usługi dla Chrome. Jedna z luk w zabezpieczeniach dozwolony atakujących w celu uzyskania nazwy użytkownika i hasła.
Kolejną piętą achillesową związaną z przechowywaniem hasła głównego w pliku lokalnym było odkryty w 2020 r. A w 2021 r. eksperci znaleziony trackery innych firm w aplikacji LastPass na Androida. Doszliśmy więc do 2022 roku, kiedy nastąpiła cała seria incydentów. Jeden gorszy od drugiego:
- Intruz pierwszy otrzymane nieautoryzowany dostęp do części środowiska programistycznego LastPass, kodu źródłowego i informacji technicznych.
- Wtedy ten człowiek sobie poradził włamać się komputer starszego inżyniera i uzyskał jego hasło główne.
- Potem haker przeniknął do korporacyjnego skarbca używanego przez głównych inżynierów. Były kopie zapasowe plików klienta.
- Cóż, jak wisienka na torcie - otrzymujący dostęp do bazy użytkowników z dnia 14 sierpnia 2022 r., a także kilka kopii zapasowych skarbca haseł.
Po tym potężnym ataku LastPass stwierdził, że większość jego klientów nie musi podejmować żadnych działań. Ale niezależni eksperci Zalecana wszystkich użytkowników serwisu do zmiany haseł i zachowania szczególnej czujności wobec możliwości wyłudzanie informacji ataki.
Wszystko to doprowadziło do odpływu klientów, którzy przez długi czas nie odważyli się przerzucić na inne magazyny, licząc na bezpieczeństwo swoich danych w murach LastPass. W tym samym czasie ostatni z nas odmówił usługi.
Jeśli nadal korzystasz z LastPass, czas uciekać
Chroń siebie i swoje dane - zmień menedżera haseł. Przełącz się z LastPass na alternatywną usługę - ich całkiem sporo. Jeśli chcesz czegoś tak funkcjonalnego i wydajnego, są 1Password, Bitwarden lub NordPass. Jeśli chcesz czegoś skromniejszego, co przyciąga znacznie mniej uwagi atakujących, przyjrzyj się bliżej Enpass, Dashlane lub Keeper.
Redakcja Lifehacker używa głównie Bitwarden i 1Password do haseł osobistych. Usługi te posiadają wszystkie niezbędne funkcje, aw pierwszej opcji nie trzeba za nie płacić. 1Password jest bardziej godny zaufania, ale kosztuje.
Czego używasz do przechowywania haseł i dlaczego? Powiedz w komentarzach.
Przeczytaj także🧐
- 6 powodów, aby nie zapisywać haseł w przeglądarce
- Raport NordPass ujawnia, że wielu menedżerów używa śmiesznie prostych haseł
- Jak umieścić hasło w systemie Windows, usunąć je i zresetować, jeśli nagle zapomnisz