###
  • Windows
  • Компьютер
  • Программы
  • Фотошоп
  • Графика
  • Интернет
  • Игры
  • Компоненты
  • Видео
  • Office
  • Мобильное
  • История

    • LastPass продался. Но есть альтернативы. Критические баги выявлены в менеджере паролей LastPass, в расширениях для Chrome и Firefox Дополнительные опции аккаунта

    07.10.2021 Видео

    Длительное время я пользовался для хранения своих паролей к сайтам и заполнения веб-форм для регистрации на различных сайтах программой Roboform (устраивало в ней все, кроме одного того, что она платная).

    Но как-то надоело, постоянно перед переустановкой операционной системы, предварительно сохранять папку указанной программы, которая отвечает за хранение информации с логинами и паролями к моим сайтам.

    Потом после переустановки опять искать новую её версию и проводить манипуляции с заменой файлов и папок. И вот случилось непредвиденное, после отказа операционной системы, потерял доступ ко всем данным.

    Специалистом по восстановлению информации с жёсткого диска я себя не считаю, поэтому восстанавливать ничего не стал, а поставил себе 2 задачи: 1 — найти бесплатный и надёжный менеджер паролей; 2- иметь доступ ко всем своим паролям и логинам из любого места, где есть подключение к интернету.

    Занявшись поисками альтернативного менеджера паролей, я нашёл дополнение к браузерам (Firefox, Google Chrome, Opera) под названием LastPass Password Manager с всеми функциями, что мне нужны (запоминание логинов и паролей, заполнение веб-форм, генератором паролей) и причем за эти функции не надо платить.

    Плюс ко всему, данные хранятся в зашифрованном виде, доступ к которым имеете только вы. Дополнение показало отличную работу на протяжении более полугода. Займемся установкой на примере интернет-браузера Firefox.

    После установки перезапускаем браузер нажатием ссылки «Перезапустить сейчас».

    Браузер перезагружен и появляется окно с началом процедуры настройки LastPass, где первое что нам нужно, это выбрать язык и нажать кнопку «Создать учётную запись».

    В следующем окне вводим действующий адрес электронной почты, самый главный мастер-пароль (его нужно обязательно запомнить или где-то записать, если страдаем забывчивостью. Он будет нужен нам для получения доступа ко всем своим паролям и панели управления менеджера.

    Создаем напоминание к паролю (не обязательно), ставим обязательно отметку в поле «Я прочитал и согласен с Условиями использования». Далее ставим отметку в поле «Я понимаю, что мои зашифрованные данные будут отправлены LastPass». Выбираем остальные пункты по желанию и кликаем на «Создать учётную запись».

    Читаем крайне важную информацию, вводим свой главный мастер-пароль ещё раз и жмём «Создать учётную запись».

    Импортируем или нет (по желанию) свои логины и пароли с других хранилищ конфиденциальной информации на компьютере и кликаем на кнопку «Продолжить».

    Можно настроить сразу информацию для заполнения веб-форм.

    На последнем шаге принимаем Поздравления об успешной установке и нажимаем на кнопку «Продолжить».

    PASSWORD MANAGER

    Автоматически попадаем в онлайн-хранилище вашего аккаунта.

    В правом углу браузера появляется фирменная кнопка менеджера с нужными нам функциями.

    Для максимально удобного использования менеджера паролей я рекомендовал бы зайти в настройки, снять галочку в пункте «Использовать компактную панель инструментов».

    У нас получится удобная панель управления сверху на всю строку в браузере. Теперь при вводе логина и пароля на любом сайте LastPass будет предлагать сохранять информацию.

    Теперь для доступа к любому нужному вам веб-сайту можно использовать раскрывающийся список с названиями веб-сайтов в верхней панели управления менеджера.

    Удобной функцией является импорт всех логинов и паролей с различных популярных менеджеров.

    Стоит упомянуть прекрасно настраиваемый генератор паролей.

    Теперь после переустановки операционной системы, будь то Windows или Linux, вам нужно будет всего лишь установить дополнение LastPass Password Manager и все ваши конфиденциальные данные опять с вами.

    В заключение скажу, что в браузере Google Chrome, его версия почему-то имеет меньше настроек (в частности я не нашёл, как выключить компактную панель инструментов для отображения менеджера во всю строку браузера). Также упомяну, что тестирование этого менеджера паролей не проводилось в Opere.

    Начнем с самого начала. Для чего вообще нужны менеджеры паролей? Мы каждый день пользуемся множеством онлайн-сервисов: почта, месенжеры, социальные сети, блоги, форумы, платежные системы, знакомства, развлечения и т.п. Для каждой системы требуется отдельный эккаунт и свой пароль.

    Использовать для простоты один и тот же пароль крайне небезопасно, так как, взломав один из ваших эккаунтов, сработает принцип домино, и злоумышленники получат доступ и к остальным эккаунтам. Запомнить множество разных паролей в принципе нереально. Существует вариант формирования паролей по какому-то известному только вам принципу, но это также не всегда безопасно и удобно.

    На помощь приходят менеджеры паролей – программы, которые безопасным образом собирают и хранят ваши пароли. Ваша задача сводится лишь к тому, чтобы запомнить один главный пароль от самого менеджера (так называемый мастер-пароль). Очень удобно!

    Именно поэтому последнее время все персональные «антивирусные комбайны» (программы класса Internet Security и выше) снабжаются подобным функционалом. Но такие продукты не всем подходят и не всем по карману, поэтому интересно присмотреться к приличным бесплатным менеджерам паролей, которые, как оказалось, существуют.

    LastPass – это полностью бесплатный индивидуальный менеджер паролей, который предназначен для создания, хранения и управления паролями к различным интернет-сайтам. Работать с другими программами кроме браузеров LastPass не умеет, поэтому далее мы будем для ясности называть его браузерным менеджером паролей.

    Итак, посмотрим, что это за зверь. После установки программы с сайта www.lastpass.com к браузерам Mozilla Firefox и Microsoft Internet Explorer добавляются специальные плагины и тулбары. Сразу скажу, что на сайте производителя указана поддержка Google Chrome, но на деле ее нет (по крайней мере, на Windows 7 x64 и Google Chrome 5.0 не работает).

    Важной особенностью LastPass является то, что программа хранит все ваши пароли «в облаке», т.е. на удаленном сервере вендора в специальном персонифицированном хранилище Vault. По своей сути LastPass – это даже не программа, а сервис. В это есть свои большие плюсы, а также большие минусы.

    Плюсы состоят в том, что вы можете пользоваться хранимыми LastPass паролями на любом компьютере, где есть доступ в Интернет. Не нужно думать о резервировании базы, экспортом и импортом на другие компьютеры, синхронизацией и т.п. действиями, которые сводят на нет все удобство от использования менеджера паролей.

    Минусы, естественно, состоят в отсутствии контроля над удаленным хранилищем и рисках того, что сервер или ваша главная учетная запись (мастер-пароль) будет взломан, а все пароли оптом уйдут на черный рынок.

    Важно! При регистрации установите максимально стойкий мастер-пароль, который будете гарантировано помнить.

    В LastPass есть функция экспорта сохраненных паролей из браузеров, что позволяет экспортировать сохраненные пароли из браузеров после установки.

    Посмотрим теперь программу в действии на нескольких примерах. При регистрации на каком-либо веб-сайте LastPass автоматически определяет поля паролей (по атрибуту тега ) и предлагает сгенерировать и сохранить в своей базе безопасный пароль для него. Существует опция выбора варианта пароля, а также тонкие настройки генерации (кол-во символов и их тип).

    Если вы вводите пароль вручную на каком-либо сайте, то LastPass автоматически предлагает сохранить пароль в своей базе данных. При необходимости можно отказаться от сохранения пароля, что актуально, например, для интернет-банкинга (эти пароли лучше не доверять никому и ничему).

    В итоге ваш персональный LastPass Vault через какое-то время будет выглядеть примерно так. Там же при необходимости можно сделать заметки к паролям, экспортировать или импортировать пароли и т.п.

    При заходе на сайт, требующий авторизации, пароль от которого был ранее сохранен, менеджер паролей предложит залогиниться или сделает это автоматически (есть специальная опция). Эта возможность помимо удобства дает большее. Вы не набираете пароли с клавиатуры и минимизируются риски того, что они будут перехвачены вредоносной программой.

    Настройки LastPass вполне достаточны. Можно настроить внешний вид программы, функции оповещения и некоторые важные функции безопасности (см. рисунки ниже).

    Интересной функцией LastPass является встроенный аудит надежности используемых паролей. При генерации паролей их надежность показывается на специальном шкале (см. выше), но можно быстро проверить надежность всех паролей, включая старые.

    Результаты анализа надежности паролей приводятся в виде % от идеального, в моем случае получилось почти 69% - есть над чем поработать.

    Далее приводятся некоторые статистические данные по средней длине пароля, повторным паролям, слабым паролям и т.д. Можно посмотреть анализ надежности для каждого пароля отдельно в специальной таблице, но по понятным причинам я ее приводить здесь не буду:)

    В заключение могу сказать, что лично для меня функциональность LastPass оказалась достаточна. Тестирование в течение нескольких месяцев не выявило никаких существенных недостатков (кроме отсутствия поддержки Google Chrome). Большинство паролей моих паролей связаны именно с веб-сервисами, и браузерный менеджер паролей оптимизирует работу с ними и существенно экономит время. Функции автоматического логина на сайты, генерации стойких паролей, автозаполнения форм по шаблонам, экспорт/импорт базы данных и анализа надежности всех паролей в целом оказываются очень полезными.

    Еще раз хочу обратить внимание, что сохраненные в LastPass пароли хранятся на удаленном сервере. Плюсы и минусы этого были описаны мной выше. Если вы по какой-то причине не доверяете «облачным сервисам», то вам стоит подыскать какой-то другой менеджер паролей.

    Обсуждение менеджеров паролей ведется на нашем форуме .

    Можно посмотреть продукт в действии, правда с комменратиями на анг. языке.

    Познакомьтесь с LastPass,- одной из лучших программ для хранения паролей, распространяемой в виде единого установщика плагинов для Internet Explorer, Google Chrome, Mozilla Firefox, Opera и Apple Safari, разработанной компанией LastPass. Пароли в LastPass защищены мастер-паролем, хранятся локально и могут быть синхронизированы с любым другим браузером. LastPass также имеет заполнитель форм, что позволяет автоматизировать ввод паролей и заполнение форм. Плагин поддерживает генерацию паролей, расшаривание данных, журналирование входа на сайты, создание защищенных заметок и многое другое. Скачать LastPass можно ниже.

    Один главный пароль (девиз на сайте - "Последний пароль, который вы должны запомнить!").
    Синхронизация браузеров.
    Генерация сильных паролей.
    Шифрование паролей.
    Заполнитель онлайн-форм.
    Импорт паролей из других менеджеров паролей, а также экспорт.
    Пароли хранятся в облачном сервисе lastpass.com в зашифрованном виде (AES-256).
    Мастер-пароль LastPass хранится у вас в голове и при вводе его все пароли расшифровываются из базы данных (AES-256).
    Пароли передаются по защищенному (https) соединению.
    LastPass создает хеш вашего логина и пароля, он и является ключом к AES алгоритму.
    Для авторизации сервис LastPass использует двойной хеш, именно он отправляется на сервер и является проверочным ключом при авторизации.
    Названия групп, учетных записей и данные передаются в зашифрованном виде, везде используется https.
    LastPass собирает пароли, которые не видят другие менеджеры паролей, в том числе многие AJAX-формы, и позволяет легко создавать надежные пароли.
    Вы сможете импортировать и экспортировать данные из многих известных систем хранения паролей (таких, как: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox и Internet Explorer и многих других). Пароли в LastPass защищены мастер-паролем и хранятся локально и могут быть синхронизированы с любым другим браузером.
    LastPass, использует сильную криптографию на клиентской стороне,- пароли уходят с компьютера уже зашифрованными, и расшифровать их сможет только сам пользователь. И если даже кто-то получит эти данные, то шифрованные данные в принципе бесполезны.
    Мне больше всего нравится, что все данные хранятся на компьютере и защищенном сервисе, периодически синхронизируются, доступ есть с любого компьютера, где стоит LastPass. Кроме того в нем очень удобная функция создания защищенных заметок и другие, не менее полезные функции.

    Практически все. Программа все делает сама. Предложит сохранить логин - пароль, введет их в поля при последующем посещении страницы, или вообще войдет на нее сама (если хотите). При этом генерирует пароли, которые вам совершенно не нужно запоминать, и для каждого ресурса они будут разными. Это многократно повышает безопасность защищенного доступа.
    Если хотите,- ваши секреты всегда могут быть с вами, где бы вы ни работали и какой бы компьютер не использовали. Для этого можно использовать локальную версию (LastPass Pocket) для флешки(для этого желательно предварительно экспортировать свои данные из аккаунта LastPass в файл на диске, чтобы потом иметь возможность открывать его портативной версией где угодно, без установки основной программы). Все работает без каких либо ограничений на количество сохраненных данных, времени использования, бесплатно и по-русски. Хотя есть и платная версия, с несколько более расширенными возможностями, но о ней речь не идет.
    Процедура установки программы и регистрации аккаунта LastPass довольно проста, надо просто соглашаться с установками по умолчанию, причем установщик предложит отключить менеджеры паролей в установленных браузерах из-за их ненадежности. Создать мастер-пароль также очень просто (тут вам будут предложены варианты и показана устойчивость вашего мастер-пароля к взлому). Кроме того, разработчики рекомендуют периодически менять свой мастер-пароль для предотвращения несанкционированного доступа к вашему аккаунту LastPass. У самого сервиса LastPass доступа к вашим конфиденциальным данным нет, о чем они честно предупреждают. То есть, если вы забудете или потеряете свой мастер-пароль, вам будет выслана только подсказка для восстановления пароля (а не ваши пароли, логины и т.п.), или придется воспользоваться восстановлением аккаунта.
    Большой плюс LastPass, на мой взгляд, в том, что при наличии уже существующего аккаунта LastPass (ну и выученного мастер-пароля, естественно, для входа в свой аккаунт), вам совершенно нечего боятся "падения" иили переустановки системы, надо только установить повторно LastPass и войти в свой аккаунт, дальше программа будет работать за вас. Само собой разумеется, все ваши пароли, сайты, форумы, защищенные заметки, в общем, все, что вы сохраняли, будет восстановлено на новом компьютере. Разработчики не дремлют, постоянно обновляют LastPass, усиливая его (и вашу безопасность) и улучшают программу, причем в браузерах обновление расширений LastPass идет в фоновом режиме, не мешая работе.
    Такое вот описание возможностей LastPass получилось, далеко неполное, надеюсь, программа понравится. В конце отмечу, что перепробовав множество менеджеров паролей, платных и бесплатных, давно остановил свой выбор на LastPass из-за его простоты и надежности. Программа довольно часто обновляется, как на официальном сайте, так и сервисах расширений Google, Firefox, Opera и Safari, есть подробная онлайн-справка и видео по настройке и использованию программы.


    Разработчик: Joe Siegrist
    Лицензия : FreeWare
    Язык : Multi + Русский
    Размер : 59 MB
    ОС : Windows
    Скачать :

    Еще летом 2016 года специалист Google Project Zero Тэвис Орманди (Tavis Ormandy) искренне : «Люди правда пользуются этой LastPass-штукой?». Тогда Орманди обнаружил в коде аддона LastPass для Firefox 0-day уязвимость, которая позволяла удаленно скомпрометировать все пароли пользователя.

    Теперь, спустя почти год, эксперт вновь решил испытать безопасность LastPass на прочность, и, к сожалению, нельзя сказать, что приложение выдержало эту проверку. Орманди пишет , что обнаружил проблему в официальном расширении LastPass для браузера Chrome. Согласно сообщению исследователя, content_scrip расширения содержит уязвимость, атака на которую может привести к компрометации всех хранящихся в приложении учетных данных. Причем для реализации атаки злоумышленнику нужно только заманить пользователя на вредоносный сайт.

    Исследователь объясняет, что скрипт используется только для обращения к определенному домену на lastpass.com, и если посмотреть на его работу поближе, это выглядит так:

    Здесь, как отмечает Орманди, и кроется ошибка. Скрипт проксирует неаутентифицированные оконные сообщения расширению, что может представлять опасность, ведь кто угодно может сделать следующее:

    Это даст атакующему полный доступ и заставит LastPass выполнять RPC-команды, которых могут быть сотни, но опаснее всего, конечно, возможность копирования и заполнения паролей. В некоторых случаях это и вовсе может привести к выполнению произвольного кода на машине пользователя, через эксплуатацию openattach. В качестве примера Орманди демонстрирует запуск обычного калькулятора (calc.exe).

    Разработчики LasPass, судя по всему, уже поправили проблему в Chrome-расширении, отключив 1min-ui-prod.service.lastpass.com. Однако некоторые пользователи отмечают , что для них сервер по-прежнему работает, и уязвимость все еще актуальна. Вероятно, пользователям LastPass для Chrome стоит пока отключить расширение и дождаться выхода полноценного исправления, так как версия 4.1.42, датированная на 14 марта 2017 года, еще была уязвима.

    Стоит отметить, что на прошлой неделе Тэвис Орманди нашел еще один очень похожий баг в аддоне LastPass для Firefox. Уязвимость точно так же позволяет извлечь все пароли пользователя, если тот посетит вредоносный сайт.

    Данная проблема до сих пор не исправлена. Разработчики LastPass уже подготовили патч, но исправленная версия 3.3.2 пока проходит рассмотрение специалистов Mozilla. Также авторы LastPass подчеркнули, что ветка 3.x все-таки считается устаревшей, и пользователям рекомендуется перейти на более безопасную ветку 4.x.

    Но проблемы LastPass не заканчиваются даже на этом. Сегодня, 22 марта 2017 года, Тэвис Орманди предупредил, что в аддоне LastPass для Firefox содержится еще один баг, позволяющий воровать чужие пароли для любого домена. Причем на этот раз уязвима более современная и безопасная версия 4.1.35. Подробности эксперт обещает обнародовать в ближайшее время.