Čas je, da priznamo: LastPass ni več isti. Tukaj je razlog, zakaj bi morali preklopiti na drug trezor gesel
Miscellanea / / April 09, 2023
Ste videli novico, da so hekerji vdrli v LastPass in pridobili uporabniška gesla? To je le vrh ledene gore.
Lifehacker je mesto, kjer lahko vedno dobite koristen nasvet. O zdravju, športu, delu, tehnologiji – veliko pišemo in pogosto dajemo priporočila. Vendar pa ne vsi prestanejo preizkusa časa. Tudi najbolj kul in najbolj popolne storitve "zbledijo", pripomočki prenehajo ugajati in priljubljeni življenjski triki preprosto izgubijo svojo pomembnost.
O vsem, kar nas je dokončno razočaralo, bomo spregovorili v novi seriji člankov. In naš prvi junak je upravitelj gesel LastPass, ki ga že dolgo čakamo.
Nekoč je bil LastPass res dober
LastPass je storitev z dolgo zgodovino. Njegova prva različica je bila izdana leta 2008. In leto kasneje je postal eden vodilnih v svojem segmentu. Večkrat so ga imenovali najboljša rešitev za shranjevanje gesel - najbolj priročna, funkcionalna in zanesljiva. In dolgo je bilo.
Lifehacker je svojim bralcem večkrat priporočil LastPass. Navsezadnje je storitev resnično univerzalna, z razširitvami za vse priljubljene brskalnike in mobilne aplikacije. Vsa gesla v njem so šifrirana, shranjena v »oblaku« in jih je mogoče sinhronizirati med napravami.
Najpomembneje je, da je bil LastPass hiter in je ponujal vse, kar bi lahko potrebovali, vključno z zapletenim generatorjem gesel, dvonivojsko avtentikacijo in izpolnjevalec obrazcev, tako da vam ni treba ničesar tipkati ročno. In za eno vrsto naprave je bila storitev brezplačna. No, je kul?
Težave so se začele že zdavnaj. In to je cela snežna kepa
Zagotovo ste videli novico, da LastPass vdrl in hekerjem je uspelo dobiti šifrirane trezorje gesel svojih strank. Gre za dogodke v zadnjem letu, ki so, kot kaže, močno okrnili ugled službe. Če pa na težavo pogledate bolj globalno, potem to še zdaleč ni prvi udarec za LastPass.
Težave s storitvami so se začele leta 2011. Nato razvijalci odkriti anomalija v dohodnem omrežnem prometu in nato podobna anomalija v odhodnem. Skrbniki niso našli znakov kršitve varnosti, vendar tudi niso mogli ugotoviti vzroka premikanja podatkov naprej in nazaj.
Uradne izgube v podjetju niso priznali, za službo za varovanje izjemno dragocenih podatkov pa je bil klic več kot zaskrbljujoč.
Za varno je LastPass nato od nekaterih uporabnikov zahteval, da spremenijo glavna gesla. In izvršni direktor podjetja se je moral opravičevati za "pretirano paniko".
To je bil le prvi signal, ki so mu sledili drugi - z večjo škodo za ugled storitve. Tako se je leta 2015 zgodil še en sumljiv incident. Še ena čudna dejavnost v omrežju podjetja je povzročila uhajanje naslovov E-naslov, namigi za uporabniška gesla in nekaj zgoščenih podatkov. Razvijalci potrjeno dejstva vdora, a zagotovil, da so šifrirane informacije ostale pod ključem.
Še več. Leta 2016 je bila v LastPass ranljivost, ki je omogočala dostop do nešifriranih podatkov odkriti samostojno podjetje za spletna varnost Zaznati. Leta 2017 in 2019 je beli heker Tavis Ormandy našel več lukenj v razširitvi storitve za Chrome. Ena od ranljivosti dovoljeno napadalci pridobijo uporabniško ime in geslo.
Druga Ahilova peta, povezana s shranjevanjem glavnega gesla v lokalni datoteki, je bila odkriti leta 2020. In leta 2021 strokovnjaki našel sledilniki tretjih oseb v aplikaciji LastPass za Android. Tako smo prišli do leta 2022, ko se je zgodila cela vrsta incidentov. Eden je slabši od drugega:
- Najprej vsiljivec prejeli nepooblaščen dostop do delov razvojnega okolja LastPass, izvorne kode in tehničnih informacij.
- Potem je temu človeku uspelo kramp računalnik višjega inženirja in pridobil njegovo glavno geslo.
- Potem heker prodrl v trezor podjetja, ki ga uporabljajo glavni inženirji. Obstajale so varnostne kopije odjemalskih datotek.
- No, kot češnja na torti - prejemanje dostop do baze uporabnikov z dne 14. avgusta 2022 ter več varnostnih kopij trezorja gesel.
Po tem močnem napadu je LastPass trdil, da večini njegovih strank ni bilo treba ukrepati. Ampak neodvisni strokovnjaki priporočljivo vsem uporabnikom storitve, da spremenijo svoja gesla in bodo še posebej pozorni na morebitne lažno predstavljanje napadi.
Vse to je privedlo do odliva strank, ki si dolgo niso upali preklopiti na druge shrambe, v upanju na varnost svojih podatkov v stenah LastPass. Obenem je zadnji izmed nas storitev zavrnil.
Če še vedno uporabljate LastPass, potem je čas, da tečete
Zaščitite sebe in svoje podatke – spremenite upravitelja gesel. Preklopite z LastPass na alternativno storitev – njihovo precej. Če želite nekaj tako funkcionalnega in zmogljivega, so na voljo 1Password, Bitwarden ali NordPass. Če želite nekaj bolj skromnega, kar pritegne veliko manj pozornosti napadalcev, si poglejte Enpass, Dashlane ali Keeper.
Uredništvo Lifehackerja za osebna gesla uporablja predvsem Bitwarden in 1Password. Te storitve imajo vse potrebne funkcije in v prvi možnosti vam jih ni treba plačati. 1Password je bolj zaupanja vreden, vendar stane.
Kaj uporabljate za shranjevanje gesel in zakaj? Povejte v komentarjih.
Preberite tudi🧐
- 6 razlogov, da ne shranjujete gesel v brskalnik
- Poročilo NordPass razkriva, da številni vodstveni delavci uporabljajo smešno preprosta gesla
- Kako postaviti geslo v sistem Windows, ga odstraniti in ponastaviti, če ga nenadoma pozabite