LastPass является Freemium менеджер паролей , который хранит пароли в зашифрованном виде в Интернете. Стандартная версия LastPass поставляется с веб-интерфейсом, но также включает плагины для различных веб-браузеров и приложений для многих смартфонов. [1] Он также включает поддержку букмарклетов . [3] LogMeIn, Inc. приобрела LastPass в октябре 2015 года. [4]
Автор (ы) оригинала | Marvasol, Inc. ( dba LastPass) |
---|---|
Разработчики) | LogMeIn |
Первый выпуск | 22 августа 2008 г. |
Платформа | Firefox , Google Chrome , Internet Explorer 11 , Safari , Opera , Android 5.0 и новее, iOS 11 и новее, Windows 7 и новее, macOS , UWP , x86 и AMD64 Linux , Maxthon [1] |
Доступно в | Английский и 6 других языков [2] |
Тип | Менеджер паролей |
Лицензия | Freemium |
Веб-сайт | lastpass |
Обзор
Контент пользователя в LastPass, включая пароли и секретные заметки, защищен одним мастер-паролем. Контент синхронизируется с любым устройством, на котором пользователь использует программное обеспечение LastPass или расширения приложений. Информация зашифрована с помощью шифрования AES-256 с использованием PBKDF2 SHA-256 , солёных хэшей и возможности увеличения количества итераций паролей. Шифрование и дешифрование происходит на уровне устройства. [1] [5]
LastPass имеет заполнитель форм, который автоматизирует ввод пароля и заполнение форм, а также поддерживает генерацию пароля, совместное использование сайта и ведение журнала сайта, а также двухфакторную аутентификацию. LastPass поддерживает двухфакторную аутентификацию с помощью различных методов, включая приложение LastPass Authenticator для мобильных телефонов, а также другие, включая YubiKey . [6] LastPass доступен как расширение для многих веб-браузеров, включая Google Chrome , Mozilla Firefox , Apple Safari , Microsoft Edge , Vivaldi и Opera . В нем также есть приложения для смартфонов под управлением операционных систем Android , iOS или Windows Phone . Приложения имеют автономную работу. [1]
В отличие от некоторых других основных менеджеров паролей, LastPass предлагает подсказку для пароля, установленную пользователем , позволяющую получить доступ, когда мастер-пароль отсутствует. [7]
LastPass имеет функцию безопасного обмена паролями .
История
2 декабря 2010 года было объявлено, что LastPass приобрел Xmarks , расширение веб-браузера, которое позволяет синхронизировать пароли между браузерами. Приобретение означало выживание Xmarks, у которого были финансовые проблемы, и, хотя эти два сервиса оставались отдельными, приобретение привело к снижению цены на платные премиальные подписки, объединяющие эти два сервиса. [8] [9] 30 марта 2018 г. было объявлено о закрытии службы Xmarks 1 мая 2018 г., о чем говорится в электронном письме пользователям LastPass. [10]
9 октября 2015 года LogMeIn, Inc. приобрела LastPass за 110 миллионов долларов. Компания была объединена под брендом LastPass с аналогичным продуктом Meldium, который уже был приобретен LogMeIn. [4] [11] [12]
3 февраля 2016 года LastPass представил новый логотип. Предыдущий логотип, на котором была изображена звездочка, был предметом судебного иска о товарном знаке, поданного в начале 2015 года компанией E-Trade , логотип которой также отмечен звездочкой. [13]
16 марта 2016 года LastPass выпустила LastPass Authenticator, бесплатное приложение для двухфакторной аутентификации . [14] [15]
2 ноября 2016 года LastPass объявил, что бесплатные учетные записи теперь будут поддерживать синхронизацию пользовательского контента с любым устройством - функция, ранее доступная только для платных учетных записей. Раньше бесплатная учетная запись в сервисе означала, что он будет синхронизировать контент только с одним приложением. [16] [17]
В августе 2017 года LastPass анонсировала LastPass Families, семейный план для обмена паролями, информацией о банковском счете и другими конфиденциальными данными между членами семьи по годовой подписке за 48 долларов. Они также удвоили цену версии Premium, не добавляя к ней никаких новых функций. Вместо этого были удалены некоторые функции бесплатной версии. [18]
16 февраля 2021 года LastPass объявил, что с 16 марта бесплатные версии можно будет использовать только на настольных или мобильных устройствах, а не на обоих сразу. Любой пользователь, желающий продолжить использование обоих, должен будет заплатить за версию Premium (т.е. оплаченную). В то же время они прекратят поддержку по электронной почте для бесплатных пользователей. [19]
Прием
В марте 2009 года журнал PC Magazine наградил LastPass пятью звездами, знаком «Отлично» и наградой «Выбор редакции» за управление паролями. [20] Новый обзор в 2016 году, последовавший за выпуском LastPass 4.0, снова принес сервису пять звезд, отметку «Отлично» и награду «Выбор редакции». [21]
В июле 2010 года модель безопасности LastPass была широко освещена и одобрена Стивом Гибсоном в его эпизоде 256 подкаста « Безопасность сейчас » [22]. Он также вернулся к теме и ее взаимосвязи с эпизодом 421 подкаста Агентства национальной безопасности в «Безопасность сейчас» [23]. ]
В октябре 2015 года, когда LogMeIn приобрела LastPass, блог основателя Джо Сигриста был заполнен комментариями пользователей, критикующими LogMeIn. [24] Веб-сайты ZDNet, Forbes и Infoworld опубликовали статьи, в которых упоминались протесты существующих клиентов, некоторые из которых заявили, что откажутся вести дела с LogMeIn, а также высказали другие опасения по поводу репутации LogMeIn. [25] [26] [27]
В статье Consumer Reports за 2017 год Дэн Гуидо, генеральный директор Trail of Bits, назвал LastPass популярным менеджером паролей (наряду с Dashlane , KeePass и 1Password ), причем выбор между ними в основном зависит от личных предпочтений. [7] В марте 2019 года Lastpass был удостоен награды за лучший продукт в области управления идентификацией во время седьмой ежегодной премии журнала Cyber Defense Magazine InfoSec Awards. [28]
В феврале 2021 года, в ответ на ограничение LastPass уровня бесплатного пользования одним типом устройств, Барри Коллинз из Forbes назвал это изменение « приманкой и переключением », что делает бесплатные учетные записи «гораздо менее полезными, чем они были раньше», что «разрушает» бесплатный уровень. [29]
Проблемы с безопасностью
Инцидент безопасности 2011 года
Во вторник, 3 мая 2011 г., LastPass обнаружил аномалию во входящем сетевом трафике, а затем аналогичную аномалию в исходящем трафике. Администраторы не обнаружили никаких признаков классического нарушения безопасности (например, повышение прав администратора до уровня администратора), но и не смогли определить причину аномалий. Кроме того, учитывая размер аномалий, теоретически было возможно, что такие данные, как адреса электронной почты, соль сервера и хэши паролей с солью , были скопированы из базы данных LastPass. Чтобы решить эту проблему, LastPass отключил «взломанные» серверы, чтобы их можно было восстановить, и 4 мая 2011 г. попросил всех пользователей изменить свои мастер-пароли. Они сказали, что, хотя прямых доказательств того, что какая-либо информация о клиентах была скомпрометирована, нет, они предпочли проявить осторожность. Однако в результате пользовательский трафик перегрузил серверы входа в систему, и администраторы компании - учитывая, что вероятность взлома существующих паролей была незначительной - просили пользователей отложить смену паролей до дальнейшего уведомления. [30] [31]
2015 нарушение безопасности
В понедельник, 15 июня 2015 г., LastPass опубликовал сообщение в блоге, в котором указывалось, что команда LastPass обнаружила и остановила подозрительную активность в своей сети в предыдущую пятницу. Их расследование показало, что адреса электронной почты учетных записей LastPass, напоминания паролей, серверные параметры для каждого пользователя и хэши аутентификации были скомпрометированы; однако зашифрованные данные пользовательского хранилища не пострадали. В блоге компании говорится: «Мы уверены, что наших мер по шифрованию достаточно для защиты подавляющего большинства пользователей. LastPass усиливает хэш аутентификации с помощью случайной соли и 100 000 раундов серверного PBKDF2-SHA256 в дополнение к раундам, выполненным клиентом. - сторона. Это дополнительное усиление затрудняет атаку украденных хэшей со значительной скоростью ». [32] [33]
Инциденты безопасности 2016 г.
В июле 2016 года в блоге, опубликованном независимой фирмой по онлайн-безопасности Detectify, подробно описан метод чтения паролей в открытом виде для произвольных доменов из хранилища пользователя LastPass, когда этот пользователь посещает вредоносный веб-сайт. Эта уязвимость стала возможной из-за плохо написанного кода парсинга URL в расширении LastPass. Detectify не раскрывала уязвимость публично до тех пор, пока LastPass не был уведомлен в частном порядке и не смог исправить расширение своего браузера. [34] LastPass отреагировал на публичное раскрытие Detectify в своем блоге, в котором они сообщили о дополнительной уязвимости, обнаруженной членом группы безопасности Google и уже исправленной LastPass. [35]
Инциденты безопасности 2017 г.
20 марта Тэвис Орманди обнаружил уязвимость в расширении LastPass для Chrome. Эксплойт применялся ко всем клиентам LastPass, включая Chrome, Firefox и Edge. Эти уязвимости были отключены 21 марта и исправлены 22 марта [36].
25 марта Орманди обнаружил дополнительную брешь в системе безопасности, позволяющую удаленно выполнять код, когда пользователь переходит на вредоносный веб-сайт. Эта уязвимость также была исправлена. [37] [38]
Инциденты безопасности 2019 г.
В пятницу, 30 августа 2019 года, Тавис Орманди сообщил об уязвимости в расширении браузера LastPass, в которой веб-сайты с вредоносным кодом JavaScript могли получить имя пользователя и пароль, вставленные менеджером паролей на ранее посещенном сайте. [39] [40] К 13 сентября 2019 года Lastpass публично объявила об уязвимости, признав, что проблема ограничена только расширениями Google Chrome и Opera; Тем не менее, все платформы получили исправления уязвимости. [41] [42]
2021 сторонние трекеры
В 2021 году было обнаружено, что приложение для Android содержит сторонние трекеры. [43]
Смотрите также
- Список менеджеров паролей
Рекомендации
- ^ a b c d «Лучший способ управлять паролями» . LogMeIn . Проверено 8 августа 2018 .
- ^ "Какие языки поддерживает LastPass?" . LogMeIn . Проверено 14 ноября 2020 года .
- ^ «Букмарклеты» . LogMeIn . Архивировано из оригинального 26 февраля 2017 года . Проверено 8 августа 2018 .
- ^ а б Сигрист, Джо (9 октября 2015 г.). «LastPass присоединяется к семье LogMeIn» . blog.lastpass.com . LogMeIn . Проверено 8 августа 2018 .
- ^ Хоффман, Крис (9 августа 2012 г.). «11 способов сделать вашу учетную запись LastPass еще более безопасной» . How-To Geek .
- ^ Эдди, Макс (30 марта 2016 г.). «LastPass Authenticator (для iPhone)» . PCMag . Зифф Дэвис .
- ^ а б Чайковский, Андрей (7 февраля 2017 г.). «Все, что вам нужно знать о менеджерах паролей» . Потребительские отчеты .
- ^ Готт, Эмбер (2 декабря 2010 г.). «LastPass приобретает Xmarks!» . blog.lastpass.com . LogMeIn .
- ^ Парди, Кевин (2 декабря 2010 г.). «LastPass приобретает Xmarks, оставляя бесплатные планы синхронизации закладок доступными» . Лайфхакер . Gizmodo Media Group .
- ^ Бринкманн, Мартин (1 апреля 2018 г.). «LogMeIn закроет Xmarks 1 мая 2018 г.» . gHacks . Архивировано 1 апреля 2018 года.
- ^ Бродкин, Джон (9 октября 2015 г.). «LogMeIn покупает менеджер паролей LastPass за 110 миллионов долларов» . Ars Technica . Condé Nast .
- ^ Перес, Сара (9 октября 2015 г.). «LogMeIn приобретает программное обеспечение для управления паролями LastPass за 110 миллионов долларов» . TechCrunch . Сеть Oath Tech .
- ^ Зигрист, Джо. «Встречайте новый логотип LastPass» . LastPass . Проверено 2 ноября 2016 года .
- ^ Готт, Эмбер (16 марта 2016 г.). «Аутентификатор LastPass упрощает работу с двумя факторами» . blog.lastpass.com . LogMeIn .
- ^ Уитвам, Райан (16 марта 2016 г.). «LastPass выпускает собственное двухфакторное мобильное приложение для аутентификации» . AndroidPolice . Нелогичный робот.
- ^ Зигрист, Джо (2 ноября 2016 г.). «Получите LastPass везде: доступ к нескольким устройствам теперь бесплатный!» . blog.lastpass.com . LogMeIn .
- ^ Кастренакес, Джейкоб (2 ноября 2016 г.). «Теперь на один повод не использовать диспетчер паролей меньше» . Грань . Vox Media .
- ^ Маринг, Джо (3 августа 2017 г.). «LastPass объявляет цены на тарифный план« Семья »; удваивает стоимость варианта« Премиум »» . 9to5Google .
- ^ «Изменения в LastPass Free» . LastPass. 16 февраля 2021 . Проверено 16 февраля 2021 года .
- ^ Рубенкинг, Нил (20 марта 2009 г.). «Обзор LastPass 1.50» . PCMag . Зифф Дэвис . Архивировано 24 марта 2009 года.CS1 maint: неподходящий URL ( ссылка )
- ^ Рубенкинг, Нил (2 ноября 2016 г.). «Обзор LastPass 4.0» . Журнал ПК . Проверено 2 ноября 2016 года .
- ^ Гибсон, Стив; Ляпорт, Лео (10 июня 2010 г.). «Безопасность сейчас 256: Безопасность LastPass» . TWiT.tv .
- ^ Гибсон, Стив; Ляпорт, Лео (11 сентября 2013 г.). «Безопасность сейчас 421: идеальное обвинение» . TWiT.tv .
- ^ Бродкин, Джон (9 октября 2015 г.). «LogMeIn покупает менеджер паролей LastPass за 110 миллионов долларов» . Ars Technica . Condé Nast .[ требуется проверка ]
- ^ «LastPass куплен LogMeIn за 110 миллионов долларов; ... протесты пользователей LastPass, некоторые из которых говорят, что отказываются вести дела с LogMeIn» . ZDNet . 2015-10-09 . Проверено 12 июня 2019 .[ требуется проверка ]
- ^ «LastPass присоединяется к LogMeIn, но не все в восторге от этого» . Forbes . 2015-10-09 . Проверено 12 июня 2019 .[ требуется проверка ]
- ^ «LogMeIn приобретает LastPass для расширения своего портфолио» . InfoWorld . 2015-10-09 . Проверено 12 июня 2019 .[ требуется проверка ]
- ^ Шах, Мегха (20 марта 2019 г.). «LastPass от LogMeIn удостоен награды InfoSec 2019» . Техническая воронка .
- ^ Коллинз, Барри. «LastPass ломает бесплатные аккаунты: где теперь хранить пароли?» . Forbes . Проверено 17 февраля 2021 .
- ^ Сигрист, Джо (16 мая 2011 г.). «Уведомление о безопасности LastPass» . blog.lastpass.com . LogMeIn .
- ^ Рафаэль-младший (5 мая 2011 г.). «Генеральный директор LastPass объясняет возможный взлом» . Мир ПК . IDG .
- ^ Сигрист, Джо (10 июля 2015 г.). «Уведомление о безопасности LastPass» . blog.lastpass.com . LogMeIn .
- ^ Гудин, Дэн (15 июня 2015 г.). «Взлом облачного LastPass раскрывает хешированные мастер-пароли» . Ars Technica . Condé Nast .
- ^ Карлссон, Матиас (27 июля 2016 г.). «Как я заставил LastPass выдать мне все ваши пароли» . Detectify Labs . Обнаружить.
- ^ Готт, Эмбер (27 июля 2016 г.). «Обновления безопасности LastPass» . blog.lastpass.com . LogMeIn .
- ^ Готт, Эмбер (22 марта 2017 г.). «Важные обновления безопасности для наших пользователей» . blog.lastpass.com . LogMeIn .
- ^ Орманди, Трэвис (25 марта 2017 г.). "{Без названия}" . @taviso . Twitter .
- ^ Сигрист, Джо (27 марта 2017 г.). «Обновление безопасности для расширения LastPass» . blog.lastpass.com . LogMeIn .
- ^ в 19:36, Шон Николс в Сан-Франциско, 16 сентября 2019 г. «Сколько проходов может пройти LastPass, если LastPass прошел последний проход? Исправлена дыра в безопасности, связанная с утечкой входа в систему» . www.theregister.co.uk . Проверено 26 сентября 2019 .
- ^ «Ошибка, связанная с открытием пароля, была удалена из LastPass» . Проводной . ISSN 1059-1028 . Проверено 26 сентября 2019 г. - через www.wired.com.
- ^ «Выпуск 1930 - проект-ноль - Project Zero - монорельс» . bugs.chromium.org . Проверено 17 сентября 2019 .
- ^ Гудин, Дэн (2019-09-16). «Ошибка раскрытия пароля удалена из расширений LastPass» . Ars Technica . Проверено 17 сентября 2019 .
- ^ Хендриксон, Джош. «Android-приложение LastPass содержит 7 трекеров от сторонних компаний 😬 - обзор компьютерщиков» . Обзор Компьютерщик . Проверено 20 марта 2021 года .
Внешние ссылки
- Официальный веб-сайт