On aeg tunnistada: LastPass pole enam endine. Siin on põhjus, miks peaksite lülituma teisele paroolihoidlale

Lifehacker on koht, kust saate alati kasulikke nõuandeid. Tervisest, spordist, tööst, tehnoloogiast - me kirjutame palju ja anname sageli soovitusi. Kuid mitte kõik neist ei pea ajaproovile vastu. Isegi kõige lahedamad ja täiuslikumad teenused "kaovad", vidinad ei meeldi enam ja populaarsed eluhäkid kaotavad lihtsalt oma tähtsuse.

Kõigest, mis meid lõpuks pettumust valmistas, räägime uues artiklisarjas. Ja meie esimene kangelane on LastPassi paroolihaldur, mis on juba ammu käes.

Kunagi oli LastPass tõesti hea

LastPass on pika ajalooga teenus. Selle esimene versioon ilmus 2008. aastal. Ja aasta hiljem sai temast üks oma segmendi liidreid. Seda on korduvalt nimetatud parimaks paroolide salvestamise lahenduseks – kõige mugavamaks, funktsionaalsemaks ja töökindlamaks. Ja pikka aega oligi.

Lifehacker on LastPassi oma lugejatele korduvalt soovitanud. Lõppude lõpuks on teenus tõeliselt universaalne, laiendustega kõigile populaarsetele brauseritele ja mobiilirakendustele. Kõik selles olevad paroolid on krüpteeritud, salvestatud "pilvesse" ja neid saab seadmete vahel sünkroonida.

Mis kõige tähtsam, LastPass oli kiire ja pakkus kõike, mida võis vajada, sealhulgas keerukat parooligeneraatorit, kahetasandiline autentimine ja vormitäitja, et te ei peaks midagi käsitsi tippima. Ja ühte tüüpi seadmetele oli teenus tasuta. Noh, kas see on lahe?

Probleemid algasid juba ammu. Ja see on terve lumepall

Kindlasti olete näinud uudist, et LastPass häkkinud ja häkkeritel see õnnestus saada oma klientide paroolide krüpteeritud varahoidlad. Need on möödunud aasta sündmused, mis näib olevat teenistuse mainet kõvasti määrinud. Aga kui vaadata probleemi globaalsemalt, siis see pole kaugeltki esimene löök LastPassile.

Probleemid teenindusega algasid 2011. aastal. Siis arendajad avastatud anomaalia sissetulevas võrguliikluses ja seejärel sarnane anomaalia väljaminevas. Haldurid ei leidnud turvarikkumise märke, kuid nad ei suutnud ka kindlaks teha andmete edasi-tagasi liikumise põhjust.

Ametlikke kahjusid ettevõte ei tunnistanud, kuid üliväärtuslike andmete kaitsmise teenuse jaoks oli kõne enam kui murettekitav.

Ohutuse tagamiseks nõudis LastPass mõnelt kasutajalt oma peaparooli muutmist. Ja ettevõtte tegevjuht pidi "liigse paanika" jaoks vabandusi otsima.

See oli alles esimene signaal, millele järgnesid teised - teenuse maine suurema kahjuga. Niisiis leidis 2015. aastal aset veel üks kahtlane juhtum. Veel üks kummaline tegevus ettevõtte võrgus viis aadresside lekkimiseni Meil, vihjeid kasutajate paroolidele ja mõningatele räsiandmetele. Arendajad kinnitatud häkkimise fakti, kuid kinnitas, et krüpteeritud teave jäi luku ja võtme alla.

Edasi veel. 2016. aastal oli LastPassi haavatavus, mis võimaldas juurdepääsu krüpteerimata andmetele avastatud sõltumatu firma jaoks võrguturvalisus Tuvastage. Aastatel 2017 ja 2019 leidis valge häkker Tavis Ormandy Chrome'i teenuselaiendis mitu auku. Üks haavatavustest lubatud ründajad kasutajanime ja parooli hankimiseks.

Teine Achilleuse kand, mis oli seotud peaparooli salvestamisega kohalikku faili, oli avastatud aastal 2020. Ja 2021. aastal eksperdid leitud kolmanda osapoole jälgijad Androidi rakenduses LastPass. Nii jõudsime aastasse 2022, mil juhtus terve rida vahejuhtumeid. Üks on hullem kui teine:

• Sissetungija esimene saanud volitamata juurdepääs LastPassi arenduskeskkonna osadele, lähtekoodile ja tehnilisele teabele.
• Siis see mees sai hakkama häkkima vaneminseneri arvuti ja sai tema peaparooli.
• Siis häkker tunginud peainseneride kasutatavasse ettevõtte varahoidlasse. Seal olid kliendifailide varukoopiad.
• Noh, nagu kirss tordil - saamine juurdepääs kasutajate andmebaasile 14. augustil 2022, samuti mitmed paroolihoidla varukoopiad.

Pärast seda võimsat rünnakut väitis LastPass, et enamikul tema klientidest ei olnud vaja midagi ette võtta. Aga sõltumatud eksperdid soovitatav kõigil teenuse kasutajatel muuta oma paroole ja olla eriti valvas võimalike andmepüügi rünnakud.

Kõik see tõi kaasa klientide väljavoolu, kes ei julgenud pikka aega teistele salvestustele üle minna, lootes oma andmete turvalisusele LastPassi seinte vahel. Samal ajal keeldus meist viimane teenusest.

Kui kasutate endiselt LastPassi, on aeg jooksma asuda

Kaitske ennast ja oma andmeid – muutke paroolihaldurit. Lülituge LastPassist alternatiivsele teenusele – nende nii mõnigi. Kui soovite midagi sama funktsionaalset ja võimsat, on olemas 1Password, Bitwarden või NordPass. Kui soovid midagi tagasihoidlikumat, mis tõmbab ründajate tähelepanu palju vähem, siis vaata lähemalt Enpassi, Dashlane’i või Keeperit.

Lifehackeri toimetus kasutab isiklike paroolide jaoks peamiselt Bitwardeni ja 1Passwordi. Nendel teenustel on kõik vajalikud funktsioonid ja esimese variandi puhul ei pea te nende eest maksma. 1Parool on usaldusväärsem, kuid see maksab raha.

Mida kasutate paroolide salvestamiseks ja miks? Räägi kommentaarides.