Пора признаться: LastPass уже не тот. Вот почему стоит перейти на другое хранилище паролей

Лайфхакер — это то место, где вы всегда можете получить полезный совет. О здоровье, спорте, работе, технологиях — мы пишем о многом и часто даём рекомендации. Однако не все из них выдерживают проверку временем. Даже самые крутые и совершенные сервисы «увядают», гаджеты перестают радовать, а популярные лайфхаки просто теряют актуальность.

Обо всём, что нас окончательно разочаровало, мы поговорим в новой серии статей. И наш первый герой — менеджер паролей LastPass, с которого давно пора валить.

Когда‑то LastPass был действительно хорош

LastPass — сервис с большой историей. Его первая версия вышла в далёком 2008‑м. И уже через год он стал одним из лидеров в своём сегменте. Его много раз называли лучшим решением для хранения паролей — самым удобным, функциональным и надёжным. И долгое время так оно и было.

Лайфхакер неоднократно рекомендовал LastPass своим читателям. Ведь сервис по‑настоящему универсальный, с расширениями для всех популярных браузеров и мобильными приложениями. Все пароли в нём шифруются, хранятся в «облаке» и могут быть синхронизированы между устройствами.

Самое главное, что LastPass работал быстро и предлагал всё, что может потребоваться, в том числе генератор сложных паролей, двухуровневую аутентификацию и заполнитель форм, чтобы ничего не набирать руками. А ещё для одного типа устройств сервис был бесплатным. Ну круто же?

Проблемы начались давно. И это целый снежный ком

Наверняка вы видели новости о том, что LastPass взломали и хакерам удалось получить зашифрованные хранилища паролей его клиентов. Это события прошлого года, которые, казалось бы, сильно подмочили репутацию сервиса. Но если взглянуть на проблему более глобально, то это уже далеко не первый удар по LastPass.

Проблемы сервиса начались ещё с 2011 года. Тогда разработчики обнаружили аномалию во входящем сетевом трафике, а затем аналогичную аномалию в исходящем. Администраторы не выявили признаков нарушения системы безопасности, но и не смогли определить причину гуляющих туда‑сюда данных.

Чтобы не рисковать, LastPass тогда потребовал от некоторых пользователей сменить свои мастер‑пароли. А CEO компании пришлось оправдываться за «чрезмерную панику».

Это был лишь первый сигнал, за которым последовали другие — с более весомым уроном для репутации сервиса. Так, ещё один подозрительный инцидент произошёл в 2015‑м. Очередная странная активность в сети компании привела к утечке адресов электронной почты, подсказок для пользовательских паролей и некоторых хешированных данных. Разработчики подтвердили факт взлома, но заверили, что зашифрованная информация осталась под замком.

Дальше — больше. В 2016 году уязвимость в LastPass, открывающую доступ к незашифрованным данным, обнаружила независимая фирма по онлайн‑безопасности Detectify. А в 2017‑м и 2019‑м белый хакер Тэвис Орманди нашёл несколько дыр в расширении сервиса для Chrome. Одна из уязвимостей позволяла злоумышленникам получить имя пользователя и пароль.

Ещё одна ахиллесова пята, связанная с хранением мастер‑пароля в локальном файле, была обнаружена в 2020 году. А в 2021‑м эксперты нашли в приложении LastPass для Android сторонние трекеры. Так мы докатились до 2022‑го, когда произошла целая череда инцидентов. Один хлеще другого:

• Сначала злоумышленник получил несанкционированный доступ к частям среды разработки LastPass, исходному коду и технической информации.
• Потом этот человек сумел взломать компьютер старшего инженера и получил его мастер‑пароль.
• Затем хакер проник в корпоративное хранилище, которым пользовались главные инженеры. Там были резервные копии файлов клиентов.
• Ну и как вишенка на торте — получение доступа к базе данных пользователей от 14 августа 2022 года, а также к нескольким резервным копиям хранилища паролей.

После этой мощной атаки компания LastPass заявляла, что большинству её клиентов не требуется предпринимать каких‑либо действий. Но независимые эксперты рекомендовали всем пользователям сервиса сменить пароли и проявлять особую бдительность против возможных фишинговых атак.

Если вы ещё на LastPass, то самое время бежать

Обезопасьте себя и свои данные — смените менеджер паролей. Перейдите с LastPass на альтернативный сервис — их немало. Хотите что‑то такое же функциональное и мощное — есть 1Password, Bitwarden или NordPass. Хотите что‑то поскромнее, что привлекает куда меньше внимания злоумышленников, — присмотритесь к Enpass, Dashlane или Keeper.

Сотрудники редакции Лайфхакера для личных паролей в основном используют Bitwarden и 1Password. У этих сервисов есть все необходимые функции, и в первом варианте за них не нужно платить. К 1Password доверия больше, но он стоит денег.

А что для хранения паролей используете вы и почему? Расскажите в комментариях.