Лайфхакер — это то место, где вы всегда можете получить полезный совет. О здоровье, спорте, работе, технологиях — мы пишем о многом и часто даём рекомендации. Однако не все из них выдерживают проверку временем. Даже самые крутые и совершенные сервисы «увядают», гаджеты перестают радовать, а популярные лайфхаки просто теряют актуальность.
Обо всём, что нас окончательно разочаровало, мы поговорим в новой серии статей. И наш первый герой — менеджер паролей LastPass, с которого давно пора валить.
Когда‑то LastPass был действительно хорош
LastPass — сервис с большой историей. Его первая версия вышла в далёком 2008‑м. И уже через год он стал одним из лидеров в своём сегменте. Его много раз называли лучшим решением для хранения паролей — самым удобным, функциональным и надёжным. И долгое время так оно и было.
Лайфхакер неоднократно рекомендовал LastPass своим читателям. Ведь сервис по‑настоящему универсальный, с расширениями для всех популярных браузеров и мобильными приложениями. Все пароли в нём шифруются, хранятся в «облаке» и могут быть синхронизированы между устройствами.
Самое главное, что LastPass работал быстро и предлагал всё, что может потребоваться, в том числе генератор сложных паролей, двухуровневую аутентификацию и заполнитель форм, чтобы ничего не набирать руками. А ещё для одного типа устройств сервис был бесплатным. Ну круто же?
Проблемы начались давно. И это целый снежный ком
Наверняка вы видели новости о том, что LastPass взломали и хакерам удалось получить зашифрованные хранилища паролей его клиентов. Это события прошлого года, которые, казалось бы, сильно подмочили репутацию сервиса. Но если взглянуть на проблему более глобально, то это уже далеко не первый удар по LastPass.
Проблемы сервиса начались ещё с 2011 года. Тогда разработчики LastPass CEO Explains Possible Hack / PCWorld аномалию во входящем сетевом трафике, а затем аналогичную аномалию в исходящем. Администраторы не выявили признаков нарушения системы безопасности, но и не смогли определить причину гуляющих туда‑сюда данных.
Каких‑то официальных потерь компания не признала, но для сервиса по защите крайне ценных данных звоночек был более чем тревожный.
Чтобы не рисковать, LastPass тогда потребовал от некоторых пользователей сменить свои мастер‑пароли. А CEO компании пришлось оправдываться за «чрезмерную панику».
Это был лишь первый сигнал, за которым последовали другие — с более весомым уроном для репутации сервиса. Так, ещё один подозрительный инцидент произошёл в 2015‑м. Очередная странная активность в сети компании привела к утечке адресов электронной почты, подсказок для пользовательских паролей и некоторых хешированных данных. Разработчики Hack of cloud‑based LastPass exposes hashed master passwords / ArsTechnica факт взлома, но заверили, что зашифрованная информация осталась под замком.
Дальше — больше. В 2016 году уязвимость в LastPass, открывающую доступ к незашифрованным данным, How I made LastPass give me all your passwords / Detectify независимая фирма по онлайн‑безопасности Detectify. А в 2017‑м и 2019‑м белый хакер Тэвис Орманди нашёл несколько дыр в расширении сервиса для Chrome. Одна из уязвимостей Password‑exposing bug purged from LastPass extensions / ArsTechnica злоумышленникам получить имя пользователя и пароль.
Ещё одна ахиллесова пята, связанная с хранением мастер‑пароля в локальном файле, была Breaking LastPass: Instant Unlock of the Password Vault / Elcomsoft в 2020 году. А в 2021‑м эксперты The LastPass Android App Contains 7 Trackers From Third Party Companies / ReviewGeek в приложении LastPass для Android сторонние трекеры. Так мы докатились до 2022‑го, когда произошла целая череда инцидентов. Один хлеще другого:
- Сначала злоумышленник Notice of Recent Security Incident / LastPass несанкционированный доступ к частям среды разработки LastPass, исходному коду и технической информации.
- Потом этот человек сумел Security Incident Update and Recommended Actions / LastPass компьютер старшего инженера и получил его мастер‑пароль.
- Затем хакер LastPass says employee’s home computer was hacked and corporate vault taken / ArsTechnica в корпоративное хранилище, которым пользовались главные инженеры. Там были резервные копии файлов клиентов.
- Ну и как вишенка на торте — What data was accessed? / LastPass доступа к базе данных пользователей от 14 августа 2022 года, а также к нескольким резервным копиям хранилища паролей.
После этой мощной атаки компания LastPass заявляла, что большинству её клиентов не требуется предпринимать каких‑либо действий. Но независимые эксперты LastPass users: Your info and password vault data are now in hackers’ hands / ArsTechnica всем пользователям сервиса сменить пароли и проявлять особую бдительность против возможных фишинговых атак.
Всё это привело к оттоку клиентов, которые долго не решались переходить на другие хранилища, надеясь на защищённость своих данных в стенах LastPass. Тогда же от сервиса отказались и последние из нас.
Если вы ещё на LastPass, то самое время бежать
Обезопасьте себя и свои данные — смените менеджер паролей. Перейдите с LastPass на альтернативный сервис — их немало. Хотите что‑то такое же функциональное и мощное — есть 1Password, Bitwarden или NordPass. Хотите что‑то поскромнее, что привлекает куда меньше внимания злоумышленников, — присмотритесь к Enpass, Dashlane или Keeper.
Сотрудники редакции Лайфхакера для личных паролей в основном используют Bitwarden и 1Password. У этих сервисов есть все необходимые функции, и в первом варианте за них не нужно платить. К 1Password доверия больше, но он стоит денег.
А что для хранения паролей используете вы и почему? Расскажите в комментариях.