Пора признаться: LastPass уже не тот. Вот почему стоит перейти на другое хранилище паролей
Лайфхакер — это то место, где вы всегда можете получить полезный совет. О здоровье, спорте, работе, технологиях — мы пишем о многом и часто даём рекомендации. Однако не все из них выдерживают проверку временем. Даже самые крутые и совершенные сервисы «увядают», гаджеты перестают радовать, а популярные лайфхаки просто теряют актуальность.
Обо всём, что нас окончательно разочаровало, мы поговорим в новой серии статей. И наш первый герой — менеджер паролей LastPass, с которого давно пора валить.
Когда‑то LastPass был действительно хорош
LastPass — сервис с большой историей. Его первая версия вышла в далёком 2008‑м. И уже через год он стал одним из лидеров в своём сегменте. Его много раз называли лучшим решением для хранения паролей — самым удобным, функциональным и надёжным. И долгое время так оно и было.
Лайфхакер неоднократно рекомендовал LastPass своим читателям. Ведь сервис по‑настоящему универсальный, с расширениями для всех популярных браузеров и мобильными приложениями. Все пароли в нём шифруются, хранятся в «облаке» и могут быть синхронизированы между устройствами.
Самое главное, что LastPass работал быстро и предлагал всё, что может потребоваться, в том числе генератор сложных паролей, двухуровневую аутентификацию и заполнитель форм, чтобы ничего не набирать руками. А ещё для одного типа устройств сервис был бесплатным. Ну круто же?
Проблемы начались давно. И это целый снежный ком
Наверняка вы видели новости о том, что LastPass взломали и хакерам удалось получить зашифрованные хранилища паролей его клиентов. Это события прошлого года, которые, казалось бы, сильно подмочили репутацию сервиса. Но если взглянуть на проблему более глобально, то это уже далеко не первый удар по LastPass.
Проблемы сервиса начались ещё с 2011 года. Тогда разработчики аномалию во входящем сетевом трафике, а затем аналогичную аномалию в исходящем. Администраторы не выявили признаков нарушения системы безопасности, но и не смогли определить причину гуляющих туда‑сюда данных.
Каких‑то официальных потерь компания не признала, но для сервиса по защите крайне ценных данных звоночек был более чем тревожный.
Чтобы не рисковать, LastPass тогда потребовал от некоторых пользователей сменить свои мастер‑пароли. А CEO компании пришлось оправдываться за «чрезмерную панику».
Это был лишь первый сигнал, за которым последовали другие — с более весомым уроном для репутации сервиса. Так, ещё один подозрительный инцидент произошёл в 2015‑м. Очередная странная активность в сети компании привела к утечке адресов электронной почты, подсказок для пользовательских паролей и некоторых хешированных данных. Разработчики факт взлома, но заверили, что зашифрованная информация осталась под замком.
Дальше — больше. В 2016 году уязвимость в LastPass, открывающую доступ к незашифрованным данным, независимая фирма по онлайн‑безопасности Detectify. А в 2017‑м и 2019‑м белый хакер Тэвис Орманди нашёл несколько дыр в расширении сервиса для Chrome. Одна из уязвимостей злоумышленникам получить имя пользователя и пароль.
Ещё одна ахиллесова пята, связанная с хранением мастер‑пароля в локальном файле, была в 2020 году. А в 2021‑м эксперты в приложении LastPass для Android сторонние трекеры. Так мы докатились до 2022‑го, когда произошла целая череда инцидентов. Один хлеще другого:
- Сначала злоумышленник несанкционированный доступ к частям среды разработки LastPass, исходному коду и технической информации.
- Потом этот человек сумел компьютер старшего инженера и получил его мастер‑пароль.
- Затем хакер в корпоративное хранилище, которым пользовались главные инженеры. Там были резервные копии файлов клиентов.
- Ну и как вишенка на торте — доступа к базе данных пользователей от 14 августа 2022 года, а также к нескольким резервным копиям хранилища паролей.
После этой мощной атаки компания LastPass заявляла, что большинству её клиентов не требуется предпринимать каких‑либо действий. Но независимые эксперты всем пользователям сервиса сменить пароли и проявлять особую бдительность против возможных фишинговых атак.
Всё это привело к оттоку клиентов, которые долго не решались переходить на другие хранилища, надеясь на защищённость своих данных в стенах LastPass. Тогда же от сервиса отказались и последние из нас.
Если вы ещё на LastPass, то самое время бежать
Обезопасьте себя и свои данные — смените менеджер паролей. Перейдите с LastPass на альтернативный сервис — их немало. Хотите что‑то такое же функциональное и мощное — есть 1Password, Bitwarden или NordPass. Хотите что‑то поскромнее, что привлекает куда меньше внимания злоумышленников, — присмотритесь к Enpass, Dashlane или Keeper.
Сотрудники редакции Лайфхакера для личных паролей в основном используют Bitwarden и 1Password. У этих сервисов есть все необходимые функции, и в первом варианте за них не нужно платить. К 1Password доверия больше, но он стоит денег.
А что для хранения паролей используете вы и почему? Расскажите в комментариях.
Лучшие предложения
18 надёжных смесителей, которые часто покупают на маркетплейсах
10 вещей популярных брендов со скидками до 65%
Надо брать: робот-пылесос Roborock S8 со скидкой 69%
15 отличных товаров, которые отдают со скидками до 70% на AliExpress
8 качественных пижам, которые отдают со скидками до 76%
Кроссовки от Li-Ning для суровой российской зимы
Надо брать: новый ручной пылесос от Dreame за полцены
Находки AliExpress: самые полезные и интересные товары недели
«Задача в работе»: топ-5 популярных таск-трекеров и в чём их особенности
Давление не падает: что такое резистентная гипертония и как её лечат
Шерсть из каждого угла: 6 важных правил уборки для хозяев котиков
Куда поехать осенью на машине: 7 небанальных маршрутов по России