Vrijeme je da priznamo: LastPass više nije isti. Evo zašto biste se trebali prebaciti na drugi trezor zaporki

Lifehacker je mjesto gdje uvijek možete dobiti korisne savjete. O zdravlju, sportu, poslu, tehnologiji - puno pišemo i često dajemo preporuke. Međutim, ne odolijevaju svi testu vremena. Čak i najcool i najsavršenije usluge "blijede", gadgeti prestaju ugoditi, a popularni životni hakovi jednostavno gube svoju važnost.

O svemu što nas je na kraju razočaralo govorit ćemo u novoj seriji tekstova. A naš prvi heroj je LastPass upravitelj lozinki, koji je već odavno spreman.

Jednom davno, LastPass je bio jako dobar

LastPass je usluga s dugom poviješću. Njegova prva verzija objavljena je 2008. godine. A godinu dana kasnije postao je jedan od vodećih u svom segmentu. Više puta je nazvan najboljim rješenjem za pohranu lozinki - najprikladnijim, najfunkcionalnijim i najpouzdanijim. I tako je dugo bilo.

Lifehacker je više puta preporučio LastPass svojim čitateljima. Uostalom, usluga je uistinu univerzalna, s proširenjima za sve popularne preglednike i mobilne aplikacije. Sve lozinke u njemu su šifrirane, pohranjene u "oblaku" i mogu se sinkronizirati između uređaja.

Što je najvažnije, LastPass je bio brz i nudio je sve što vam je moglo zatrebati, uključujući složeni generator zaporki, autentifikacija na dvije razine i obrazac za popunjavanje tako da ne morate ništa upisivati ​​rukom. A za jednu vrstu uređaja usluga je bila besplatna. Pa, je li super?

Problemi su počeli davno. I to je cijela gruda snijega

Sigurno ste vidjeli vijest da je LastPass hakiran i hakeri su uspjeli dobiti šifrirane trezore lozinki svojih klijenata. Riječ je o prošlogodišnjim događajima koji su, čini se, uvelike narušili ugled službe. Ali ako problem pogledate globalnije, onda ovo nije prvi udarac LastPassu.

Problemi s servisom počeli su 2011. Zatim programeri otkrio anomalija u dolaznom mrežnom prometu, a zatim slična anomalija u odlaznom. Administratori nisu pronašli znakove proboja sigurnosti, ali također nisu mogli utvrditi uzrok kretanja podataka naprijed-natrag.

Tvrtka nije priznala službene gubitke, no za službu za zaštitu iznimno vrijednih podataka poziv je bio više nego alarmantan.

Kako bi igrao na sigurno, LastPass je tada od nekih korisnika zahtijevao da promijene svoje glavne lozinke. I izvršni direktor tvrtke morao se opravdavati za "pretjeranu paniku".

Bio je to samo prvi signal, nakon kojeg su uslijedili drugi - s značajnijim narušavanjem ugleda službe. Tako se 2015. dogodio još jedan sumnjiv incident. Još jedna čudna aktivnost na mreži tvrtke dovela je do curenja adresa E-mail, savjete za korisničke lozinke i neke raspršene podatke. Programeri potvrđeno činjenicu hakiranja, ali je uvjerio da su šifrirane informacije ostale pod ključem.

Dalje više. U 2016. ranjivost u LastPassu koja je dopuštala pristup nešifriranim podacima bila je otkrio neovisna tvrtka za online sigurnost Detektirati. A 2017. i 2019. bijeli haker Tavis Ormandy pronašao je nekoliko rupa u proširenju usluge za Chrome. Jedna od ranjivosti dozvoljeno napadačima doći do korisničkog imena i lozinke.

Još jedna Ahilova peta povezana s pohranjivanjem glavne lozinke u lokalnu datoteku bila je otkrio u 2020. A 2021. stručnjaci pronađeno trekeri trećih strana u Android aplikaciji LastPass. Tako smo došli do 2022. godine, kada se dogodio cijeli niz incidenata. Jedno je gore od drugog:

• Uljez prvi primljeno neovlašteni pristup dijelovima razvojnog okruženja LastPass, izvornom kodu i tehničkim informacijama.
• Onda je ovaj čovjek uspio hakirati računalo višeg inženjera i dobio njegovu glavnu lozinku.
• Zatim haker prodrli u korporativni trezor koji koriste glavni inženjeri. Postojale su sigurnosne kopije datoteka klijenta.
• Pa, kao trešnja na torti - primanje pristup bazi podataka korisnika od 14. kolovoza 2022., kao i nekoliko sigurnosnih kopija trezora zaporki.

Nakon ovog snažnog napada, LastPass je tvrdio da većina njegovih korisnika nije trebala ništa poduzeti. Ali neovisni stručnjaci preporučeno svim korisnicima usluge da promijene svoje lozinke i budu posebno oprezni od mogućih phishing napadi.

Sve je to dovelo do odljeva kupaca koji se dugo nisu usudili prebaciti na druge pohrane, nadajući se sigurnosti svojih podataka unutar zidova LastPassa. Pritom je posljednji od nas odbio uslugu.

Ako ste još uvijek na LastPassu, vrijeme je da trčite

Zaštitite sebe i svoje podatke - promijenite upravitelja lozinkama. Prijeđite s LastPassa na alternativnu uslugu - njihovu dobar dio. Ako želite nešto tako funkcionalno i snažno, tu su 1Password, Bitwarden ili NordPass. Ako želite nešto skromnije, što privlači puno manje pozornosti napadača, bolje pogledajte Enpass, Dashlane ili Keeper.

Redakcija Lifehackera za osobne lozinke uglavnom koristi Bitwarden i 1Password. Ove usluge imaju sve potrebne značajke, au prvoj opciji ne morate ih platiti. 1Password je pouzdaniji, ali košta.

Što koristite za pohranjivanje lozinki i zašto? Recite u komentarima.