Atėjo laikas prisipažinti: LastPass nebėra tas pats. Štai kodėl turėtumėte pereiti prie kito slaptažodžio saugyklos

Lifehacker yra vieta, kur visada galite gauti naudingų patarimų. Apie sveikatą, sportą, darbą, technologijas – apie daug rašome ir dažnai pateikiame rekomendacijas. Tačiau ne visi jie atlaiko laiko išbandymą. Net pačios šauniausios ir tobuliausios paslaugos „išblunka“, programėlės nustoja džiuginti, o populiarūs gyvenimo įsilaužimai tiesiog praranda savo aktualumą.

Apie viską, kas galiausiai mus nuvylė, pakalbėsime naujoje straipsnių serijoje. Ir pirmasis mūsų herojus yra „LastPass“ slaptažodžių tvarkyklė, kuri jau seniai pavėluota.

Kadaise LastPass buvo tikrai geras

LastPass yra ilgą istoriją turinti paslauga. Pirmoji jo versija buvo išleista 2008 m. O po metų jis tapo vienu iš savo segmento lyderių. Jis ne kartą buvo vadinamas geriausiu slaptažodžių saugojimo sprendimu – patogiausiu, funkcionaliausiu ir patikimiausiu. Ir taip buvo ilgą laiką.

„Lifehacker“ ne kartą rekomendavo „LastPass“ savo skaitytojams. Juk paslauga tikrai universali, su plėtiniais visoms populiarioms naršyklėms ir mobiliosioms programoms. Visi jame esantys slaptažodžiai yra užšifruoti, saugomi „debesyje“ ir gali būti sinchronizuojami tarp įrenginių.

Svarbiausia, kad LastPass buvo greitas ir siūlė viską, ko tik gali prireikti, įskaitant sudėtingą slaptažodžių generatorių, dviejų lygių autentifikavimas ir formų užpildas, kad nereikėtų nieko vesti ranka. O vieno tipo įrenginiui paslauga buvo nemokama. Na, ar tai šaunu?

Problemos prasidėjo seniai. Ir tai yra visa sniego gniūžtė

Tikrai matėte naujienas, kad LastPass nulaužtas ir įsilaužėliams pavyko gauti užšifruotas jo klientų slaptažodžių saugyklas. Tai – praėjusių metų įvykiai, kurie, atrodytų, gerokai sugadino tarnybos reputaciją. Bet jei pažvelgsite į problemą globaliau, tai toli gražu ne pirmasis smūgis LastPass.

Paslaugos problemos prasidėjo 2011 m. Tada kūrėjai atrado įeinančio tinklo srauto anomalija, o vėliau panaši anomalija išeinančiame sraute. Administratoriai nerado jokių saugumo pažeidimo požymių, tačiau taip pat negalėjo nustatyti duomenų judėjimo pirmyn ir atgal priežasties.

Oficialių nuostolių bendrovė nepripažino, tačiau itin vertingų duomenų apsaugos tarnybai skambutis buvo daugiau nei sunerimęs.

Kad būtų saugu, „LastPass“ pareikalavo kai kurių vartotojų pakeisti pagrindinius slaptažodžius. O bendrovės generalinis direktorius turėjo teisintis dėl „per didelės panikos“.

Tai buvo tik pirmasis signalas, po kurio sekė kiti – su didesne žala tarnybos reputacijai. Taigi, dar vienas įtartinas incidentas įvyko 2015 m. Dar viena keista veikla įmonės tinkle paskatino adresų nutekėjimą El. paštas, užuominos apie vartotojų slaptažodžius ir kai kuriuos maišos duomenis. Kūrėjai patvirtino įsilaužimo faktą, tačiau patikino, kad užšifruota informacija liko užrakinta.

Toliau daugiau. 2016 m. buvo „LastPass“ pažeidžiamumas, leidžiantis pasiekti nešifruotus duomenis atrado nepriklausoma įmonė saugumas internete Aptikti. O 2017 ir 2019 metais baltasis įsilaužėlis Tavis Ormandy aptiko keletą spragų „Chrome“ paslaugos plėtinyje. Vienas iš pažeidžiamumų leidžiama užpuolikai, kad gautų vartotojo vardą ir slaptažodį.

Kitas Achilo kulnas, susijęs su pagrindinio slaptažodžio saugojimu vietiniame faile, buvo atrado 2020 metais. O ekspertai 2021 m rasta trečiųjų šalių stebėjimo priemonės „LastPass Android“ programoje. Taigi atėjome į 2022-uosius, kai buvo visa eilė incidentų. Vienas blogesnis už kitą:

• Įsibrovėlis pirmiausia gavo neteisėta prieiga prie LastPass kūrimo aplinkos dalių, šaltinio kodo ir techninės informacijos.
• Tada šis žmogus sugebėjo nulaužti vyresniojo inžinieriaus kompiuterį ir gavo pagrindinį slaptažodį.
• Tada įsilaužėlis prasiskverbė į įmonės saugyklą, kurią naudoja vyriausieji inžinieriai. Buvo kliento failų atsarginės kopijos.
• Na, kaip vyšnia ant torto - gavimo 2022 m. rugpjūčio 14 d. prieigą prie vartotojų duomenų bazės, taip pat keletą slaptažodžių saugyklos atsarginių kopijų.

Po šios galingos atakos LastPass tvirtino, kad daugumai jos klientų nereikėjo imtis jokių veiksmų. Tačiau nepriklausomi ekspertai Rekomenduojamas visi paslaugos vartotojai pasikeisti slaptažodžius ir būti ypač budrūs, kad neatsirastų galimų sukčiavimas išpuolių.

Visa tai lėmė klientų, kurie ilgą laiką nedrįso pereiti prie kitų saugyklų, nutekėjimą, tikėdamiesi savo duomenų saugumo LastPass sienose. Tuo pačiu metu paskutinis iš mūsų atsisakė paslaugos.

Jei vis dar naudojate LastPass, laikas paleisti

Apsaugokite save ir savo duomenis – pakeiskite slaptažodžių tvarkyklę. Pereikite iš LastPass į alternatyvią paslaugą – jų Siek tiek. Jei norite kažko tokio funkcionalaus ir galingo, yra 1Password, Bitwarden arba NordPass. Jei norite kažko kuklesnio, kas sulaukia kur kas mažiau užpuolikų dėmesio, atidžiau pažvelkite į Enpass, Dashlane ar Keeper.

„Lifehacker“ redakcijos darbuotojai asmeniniams slaptažodžiams dažniausiai naudoja „Bitwarden“ ir „1Password“. Šios paslaugos turi visas reikalingas funkcijas, o pirmuoju variantu už jas mokėti nereikia. 1Slaptažodis yra patikimesnis, bet kainuoja pinigus.

Ką naudojate slaptažodžiams saugoti ir kodėl? Papasakokite komentaruose.