дома › Фирмвер › LastPass е распродаден. Но, постојат алтернативи. Идентификувани се критични грешки во менаџерот за лозинки LastPass, екстензии за Chrome и Firefox Lastpass за ѓубре

LastPass е распродаден. Но, постојат алтернативи. Идентификувани се критични грешки во менаџерот за лозинки LastPass, екстензии за Chrome и Firefox Lastpass за ѓубре

Назад во летото 2016 година, специјалистот за Google Project Zero, Тавис Орманди искрено рече: „Дали луѓето навистина ја користат оваа работа LastPass? Потоа Ormandy откри ранливост во кодот на додатокот LastPass за Firefox 0-day, што овозможи далечинско компромитирање на сите кориснички лозинки.

Сега, речиси една година подоцна, експертот повторно одлучи да ја тестира безбедноста на LastPass и, за жал, не може да се каже дека апликацијата го поминала овој тест. Орманди пишува дека открил проблем во официјалната екстензија на LastPass за Прелистувач Хром. Според истражувачот, content_scrip на екстензијата содржи ранливост што, доколку биде нападната, може да доведе до компромис на сите акредитиви зачувани во апликацијата. Покрај тоа, за да изврши напад, напаѓачот треба само да го намами корисникот на злонамерна локација.

Истражувачот објаснува дека скриптата се користи само за пристап до одреден домен на lastpass.com, а ако подобро погледнете како функционира, изгледа вака:

Тука, како што забележува Орманди, лежи грешката. Скриптата ги проксира неавтентицираните пораки на прозорецот до екстензијата, што може да биде опасно бидејќи секој може да го направи следново:

Ова ќе му даде на напаѓачот целосен пристапи ќе го принуди LastPass да извршува RPC команди, од кои може да има стотици, но најопасна, се разбира, е можноста за копирање и пополнување лозинки. Во некои случаи, ова може да доведе дури и до извршување на произволен код на машината на корисникот, преку искористување на openattach. Како пример, Ormandy покажува дека работи обичен калкулатор (calc.exe).

Програмерите на LasPass, очигледно, веќе го решија проблемот во екстензијата на Chrome со оневозможување на 1min-ui-prod.service.lastpass.com. Сепак, некои корисници забележуваат дека серверот сè уште работи за нив, а ранливоста е сè уште релевантна. Корисниците на LastPass за Chrome веројатно треба да ја оневозможат екстензијата засега и да чекаат да се објави целосна закрпа, бидејќи верзијата 4.1.42, од 14 март 2017 година, сè уште беше ранлива.

Вреди да се напомене дека минатата недела Tavis Ormandy најде уште една многу слична грешка во додатокот LastPass за Firefox. Ранливоста, исто така, ви овозможува да ги извлечете сите лозинки на корисникот ако тој посети злонамерна локација.

Овој проблем сè уште не е поправен. Програмерите на LastPass веќе подготвија лепенка, но поправената верзија 3.3.2 сè уште се разгледува од специјалисти на Mozilla. Авторите на LastPass исто така нагласија дека гранката 3.x сè уште се смета за застарена, а на корисниците им се препорачува да се префрлат на побезбедната гранка 4.x.

Но, проблемите на LastPass не завршуваат тука. Денес, 22 март 2017 година, Tavis Ormandy предупреди дека додатокот LastPass за Firefox содржи уште една грешка што ви овозможува да ги украдете лозинките на другите луѓе за кој било домен. Покрај тоа, овој пат помодерната и побезбедна верзија 4.1.35 е ранлива. Експертот ветува дека ќе ги објави деталите во блиска иднина.

Најдов уште една грешка во LastPass 4.1.35 (незакрпена), што овозможува крадење лозинки за кој било домен. Целосниот извештај ќе биде на пат наскоро. pic.twitter.com/9VkV7R3vud

За претстојните значајни промени во системот Додатоци за Firefox. За да се обезбеди компатибилност меѓу прелистувачите, развивачите на Firefox и другите прелистувачи усвоија заедничко API наречено WebExtensions. Поддршката за заедничко API ќе помогне да се намалат трошоците за развој на повеќе платформи за компании како нашата кои треба да произведуваат и поддржуваат екстензии за повеќе прелистувачи. Додека мигрирањето на WebExtensions обезбедува голем број поволности за програмерите, прелистувачите и корисниците, ние сакаме да ги подготвиме корисниците на LastPass за преминот од претходниот додаток на Firefox на новиот.

Поддржуваме две верзии на LastPass за Firefox повеќе од една година. Стабилна верзија 3.x објавена во продавницата Екстензии на Firefox, а верзијата 4.x во развој е објавена на веб-страницата LastPass.com.

Иако ова создаде одредена конфузија за корисниците на LastPass, ние ја задржавме „наследната“ верзија за да го одржиме корисничкото искуство слично на Firefox што го претпочитаа нашите корисници. Во меѓувреме, продолживме да ја развиваме верзијата 4.x во согласност со промените што ги спроведува Mozilla. Но, со неодамнешните вести дека Mozilla целосно ќе се пресели на WebExtensions до крајот на 2017 година, мораме да се збогуваме со LastPass верзијата 3.x за Firefox.

Ќе ја објавиме најновата верзија на додатокот на 31 март 2017 година. Најновата верзија на додатокот се очекува да биде претставена за сите корисници на верзијата 3.3.2 во рок од неколку дена по прегледот од Mozilla. Сега можете рачно да го ажурирате додатокот за Firefox или да почекате автоматско ажурирањево април. После ова, само верзијата 4.x ќе биде достапна и на addons.mozilla.org и на LastPass.com. За корисниците на додатокот Firefox верзија 3.x, ова ажурирање ги носи сите најнови подобрувања што ги направивме во основната логика и перформансите на LastPass, како и најнов интерфејскорисник. Врз основа на повратните информации од корисниците, препорачуваме да ги проверите приказите на плочката и списокот во интерфејсот 4.x за да видите кој приказ е најдобар за вас.

Интерфејс LastPass 3.x

Интерфејс LastPass 4.x

Покрај спроведувањето на промените направени од Mozilla, веруваме дека новата верзија на нашиот додаток за Firefox е генерално многу полесна за користење. Знаеме дека промената не е секогаш пријатна. Ги слушаме вашите повратни информации и правиме внимателни, информирани промени додека го обединуваме искуството на LastPass на сите прелистувачи и платформи.

Се разбира, транзицијата кон нова верзијаДодатоците нема да влијаат на вашата сметка на LastPass или на какви било податоци во вашата меморија. Сè уште ќе имате целосен пристап до вашите сметкаво секое време од кој било прелистувач и од кој било уред.

Како и секогаш, можете да го контактирате нашиот тим за поддршка доколку имате какви било прашања или проблеми во врска со оваа транзиција.

Запознајте го LastPass, еден од... најдобрите програмиза складирање лозинки, дистрибуирани како единечен инсталатор на приклучоци за Internet Explorer, Гугл хром, Mozilla Firefox, Opera и Apple Safari, развиени од LastPass. Лозинките во LastPass се заштитени со главна лозинка, складирана локално и може да се синхронизираат со кој било друг прелистувач. LastPass има и пополнувач на формулари што ви овозможува автоматизирање на внесување лозинки и пополнување формулари. Приклучокот поддржува генерирање лозинки, споделување податоци, најавување најавувања на сајтови, создавање безбедни белешки и многу повеќе. Преземете го LastPassможно подолу.
Една главна лозинка (мотото на страницата е „Последната лозинка што треба да ја запомните!“).
Синхронизација на прелистувачот.
Генерирајте силни лозинки.
Шифрирање на лозинка.
Пополнувач на онлајн формулари.
Увезете лозинки од други менаџери со лозинки, како и извоз.
Лозинките се чуваат во облак услугата lastpass.com во шифрирана форма (AES-256).
Главната лозинка на LastPass е зачувана во вашата глава и кога ќе ја внесете, сите лозинки се дешифрираат од базата на податоци (AES-256).
Лозинките се пренесуваат преку безбедна (https) врска.
LastPass создава хаш на вашето корисничко име и лозинка, што е клучот за алгоритмот AES.
За овластување, услугата LastPass користи двоен хаш, кој се испраќа до серверот и е клучот за потврда за авторизација.
Имињата на групите, сметките и податоците се пренесуваат во шифрирана форма, https се користи насекаде.
LastPass собира лозинки што другите менаџери со лозинки не ги гледаат, вклучително и многу AJAX форми, и го олеснува создавањето силни лозинки.
Ќе можете да увезувате и извезувате податоци од многу познати системи за складирање лозинки (како што се: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox и Internet Explorer и многу други). Лозинките во LastPass се заштитени со главната лозинка и се чуваат локално и може да се синхронизираат со кој било друг прелистувач.
LastPass користи силна криптографија на страната на клиентот - лозинките го оставаат компјутерот веќе шифриран, а само корисникот може да ги дешифрира. И дури и ако некој ги добие овие податоци, шифрираните податоци во основа се бескорисни.
Она што најмногу ми се допаѓа е тоа што сите податоци се складирани на компјутер и безбедна услуга, периодично се синхронизираат и пристапот е достапен од кој било компјутер каде што е инсталиран LastPass. Покрај тоа, има многу удобна функција за создавање заштитени белешки и други подеднакво корисни функции.
Речиси се. Програмата прави сè сама. Ќе понуди да ги зачувате вашето најавување и лозинка, да ги внесете во полињата следниот пат кога ќе ја посетите страницата или дури и самите да се најавите на неа (ако сакате). Во исто време, генерира лозинки кои воопшто не треба да ги запомните, а тие ќе бидат различни за секој ресурс. Ова во голема мера ја зголемува безбедноста на заштитениот пристап.
Ако сакате, вашите тајни секогаш можат да бидат со вас, без разлика каде работите и без разлика кој компјутер го користите. За да го направите ова, можете да ја користите локалната верзија (LastPass Pocket) за флеш-уред (за ова, препорачливо е прво да ги извезете вашите податоци од вашата сметка на LastPass во датотека на дискот, за да можете подоцна да ја отворите пренослива верзијакаде било, без да ја инсталирате главната програма). Сè работи без никакви ограничувања за количината на зачувани податоци, времето на користење, бесплатно и на руски. Иако има платена верзија, со малку понапредни функции, не зборуваме за тоа.
Постапката за инсталирање на програмата и регистрирање сметка на LastPass е прилично едноставна, само треба да се согласите со стандардните поставки, а инсталерот ќе понуди да ги оневозможи менаџерите за лозинки во инсталираните прелистувачи поради нивната несигурност. Создавањето главна лозинка е исто така многу едноставно (тука ќе ви бидат дадени опции и ќе ви се покаже колку вашата главна лозинка е отпорна на хакирање). Исто така, препорачуваме периодично да ја менувате главната лозинка за да спречите неовластен пристап до вашата сметка на LastPass. Самата услуга LastPass нема пристап до вашите доверливи податоци, за што искрено предупредуваат. Односно, ако ја заборавите или ја изгубите главната лозинка, ќе ви биде испратено само известување за враќање на лозинката (а не вашите лозинки, најавувања итн.), или ќе мора да користите враќање на сметката.
Големата предност на LastPass, според мое мислење, е тоа што ако веќе имате постоечка сметка на LastPass (и научена главна лозинка, се разбира, за да се најавите на вашата сметка), немате апсолутно ништо да се плашите од „паѓање“ или повторно инсталирање на систем, само треба повторно да го инсталирате LastPass и да се најавите на вашата сметка, тогаш програмата ќе работи за вас. Се подразбира дека сите ваши лозинки, веб-локации, форуми, безбедни белешки, воопшто, сè што сте зачувале ќе бидат вратени на новиот компјутер. Програмерите не спијат, постојано го ажурираат LastPass, го зајакнуваат (и вашата безбедност) и ја подобруваат програмата, а во прелистувачите, екстензии на LastPass се ажурираат во позадинабез да се меша во работата.
Ова е опис на можностите на LastPass, далеку од комплетни, се надевам дека ќе ви се допадне програмата. На крајот, забележувам дека испробав многу менаџери за лозинки, платени и бесплатни, одамна се одлучив за LastPass поради неговата едноставност и сигурност. Програмата се ажурира доста често, и на официјалната веб-страница и на услугите Екстензии на Google, Firefox, Opera и Safari, има детална онлајн помош и видеа за поставување и користење на програмата.

Развивач: Џо Сигрист
Лиценца: FreeWare
Јазик: Мулти + руски
Големина: 59 MB
ОС: Windows
Преземи:
Одговорен е посебен дел од менито. Сепак, не е погодно за сите корисници - без овозможена синхронизација, овие податоци се зачувуваат локално, и ако HDDќе стане неупотреблива, ќе се појават непоправливи проблеми со операционен систем, лесно е да се изгубат зачуваните податоци за овластување без можност за враќање. Покрај тоа, дури и со овозможена синхронизација, корисникот е врзан за одреден прелистувач. Алатките од трети страни ви овозможуваат да ги избегнете сите овие непријатности додека ги чувате вашите лични податоци безбедни. Ова особено се однесува на LastPass, додаток со докажано искуство и корисни функции.

Главната цел на овој додаток е да ги зачува сите лозинки што ги внесувате кога се најавувате на веб-локации во облакот. Благодарение на ова, воопшто не е неопходно да се врзувате за еден прелистувач - само инсталирајте ја наставката на друг уред, најавете се под истата сметка и лесно пристапувајте до сите страници за кои лозинките се веќе зачувани претходно. Креирањето на вашата сметка на LastPass е многу едноставно:

Инсталирајте ја наставката од додатоците на прелистувачот Firefox користејќи го пребарувањето на страницата или врската подолу.

Потврдете ја инсталацијата со соодветното копче.

После тоа, ќе треба да се регистрирате во него: кликнете на иконата LastPass што ќе се појави десно од лентата за адреси и кликнете на копчето "Прифати".

Ќе се отвори нова страницаво вашиот веб-прелистувач, каде што треба да поминете низ процесот на регистрација. За почеток, наведете валидна адреса за е-пошта. Адреса Е-поштамора навистина да работи, така што ако ја изгубите лозинката за LastPass, можете да ја вратите.

Услугата бара сложена лозинка: од 12 знаци, кои содржат најмалку 1 мала и 1 голема буква, како и најмалку 1 број. Не заборавајте да вклучите совет што ќе ви помогне да го вратите клучот ако го заборавите.

Откако ќе се создаде вашата сметка, ќе треба да ја направите првата зачувана. Работи вака: Отворете ја страницата чија лозинка за сметката сакате да ја зачувате во LastPass. Поминете стандардна процедураовластување. Наставката ќе побара дозвола за зачувување на лозинката, потврдете го ова со копчето "Додај".

Како експеримент, одјавете се од вашата сметка на оваа страница и ќе видите дека дури и ако не се сеќавате на лозинката во самиот Mozilla Firefox, информациите за најавување ќе бидат заменети. Ако имате неколку сметки од една локација, кликнете на копчето во полето за најава или внесување лозинка и изберете ја саканата опција. Различните податоци за овластување од сметките ќе станат достапни само откако ќе се најавите на нив еден по еден.

Локално шифрирање

Особеноста на оваа екстензија е што целото шифрирање што се случува во LastPass се врши локално со користење на единствен клуч, поради што лозинките, дури и во шифрирана форма, не се пренесуваат на серверот на компанијата. Во овој случај, се користат технологиите AES-256 и PBKDF2 SHA-256. Благодарение на ова, корисникот не мора да се грижи за внесување доверливи информации во меморијата на додатокот: неовластени лица нема да можат да го препознаат. Дополнително, секоја важна акција бара од вас повторно да ја внесете лозинката - ова помага да се заштитат личните податоци од други корисници кои се на компјутерот во ваше отсуство.

Личен сеф

Секој регистриран корисник добива профил во кој може да управува со различни функции. За да го направите ова, кликнете на копчето за продолжување и одете на „Отвори го мојот трезор“.

Најважно е што овде можете да ги видите сите лозинки што некогаш сте ги зачувале во LastPass, да ги сортирате и дистрибуирате во папки.

За секоја лозинка, ако кликнете на копчето за клуч во плочката со неа, можете да конфигурирате неколку дополнителни опции: погледнете најава, лозинка, додадете белешка, папка, потреба да внесете главна лозинка пред да ја замените лозинката во формуларот за овластување , овозможи автоматско најавувањена страницата со овие податоци, оневозможувајќи автоматско пополнување (ова конкретно најавување и лозинка нема автоматски да се внесат во соодветните полиња на страницата за најавување Лична областоваа страница). Можно е дури и да додадете лозинка на вашите омилени и да ја испратите на лице на кое му верувате по пошта.

И покрај името, покрај самите лозинки, оваа екстензија ви овозможува да складирате и некои други податоци. Имено: белешки, адреси/телефонски броеви, платежни картички, банкарски сметки. На овој начин, можете брзо да пристапите до која било од овие доверливи информации користејќи го вашиот компјутер, мобилен уредили Apple Watch, каде што е достапна апликацијата LastPass. Истото важи и за нив: белешките, броевите на кредитните картички итн. може лесно да се прегледуваат, подредат, дистрибуираат. Сето ова е исто така лесно да се уредува и брише кога некои информации се променети или застарени.

Овде, исто така, се предлага да се искористат предностите на секундарните функции, на кои нема да се задржиме, туку делумно ќе ги разгледаме понатаму (бидејќи тие се дел од менито за проширување) и да се направат некои основни поставки на сметката. За жал, овде нема руски јазик за интерфејс.

Погледнете ги неодамна користените лозинки за најавување

Оваа ставка и другите се повикани преку менито, кое може да се отвори со кликнување на иконата за проширување, како што рековме погоре. Затоа, нема да се задржуваме на ова во иднина, туку едноставно ќе ги посочиме имињата на точките. Сега ќе разговарамеО „Неодамна користен“.

Овде ќе видите список со најновите најавувања и лозинки што се користеле за најавување на сајтовите. Ова, патем, е погодна работа не само за самиот сопственик на сметката, туку и за целите на приватноста. Податоците од овде не може да се избришат, за разлика од историјата на прелистувачот, па ако некој бил на вашиот компјутер и влегол на сајтови без ваше знаење, гледајќи во „Неодамна користен“дефинитивно ќе знаете за ова, дури и ако историјата на прелистување на вашиот веб-прелистувач е исчистена.

Со кликнување на која било ставка, можете или да отидете на самата локација, да ги уредувате податоците за овластување или целосно да ја отстраните комбинацијата за најава/лозинка од LastPass.

Преглед на лични информации

Претходно појаснивме дека во наставката освен лозинки се внесуваат белешки, броеви на картички и други податоци. Преку точка "Сите ставки"не само што можете брзо да ги прегледате, туку и да додадете нова ставка. Ова е погодно затоа што нема потреба да одите на вашата лична сметка. Во иднина, сите овие информации може да се користат за брзо регистрирање на веб-локации, плаќање за некои купувања и фактури без да мора рачно да внесувате информации за плаќање.

Додавање лични информации

Овие лични податоци лесно може да се внесат во наставката со одење низ менито до делот "Додај ставка". Овде можете да изберете од неколку тематски шаблони, каде што ги внесувате потребните информации. Некои од нив не се применливи за нашата земја, но генерално полињата се релевантни за пополнување, а со тоа можете да внесете информации за здравствено осигурување, возачка дозвола, пасош итн. Сето ова последователно е достапно за прегледување преку вашата лична сметка.

Генерирање сложена лозинка

Екстензијата ги повикува корисниците да креираат сложени лозинки кои не можат да бидат пробиени од напаѓачите. Одење на „Генерирај сигурна лозинка“, од вас се бара да ја поставите должината на идниот клуч, да го означите неговиот тип (лесно се изговара, лесно се чита, со големи, мали букви, броеви и симболи). Ако резултатот не ви се допаѓа, променете ги неговите параметри или едноставно генерирајте го повторно.

Дополнителни опции за сметката

Освен сите овие карактеристики, има и неколку технички и несуштински карактеристики кои на некои можеби им се корисни. Во делот од менито „Опции за сметка“ќе ги најдете следните дополнителни опции:

Да го сумираме, LastPass е доста функционална екстензија, кој нема аналози во своите придобивки за сите оние кои активно работат со сајтови на Интернет. LastPass не е многу погоден за почетници кои не сакаат да ги разберат неговите функции и нема да платат за обезбедување на напредни функции. По регистрацијата добивате 30 дена премиум користење како подарок, по што ќе треба да ја купите верзијата PRO според цените на услугата (погледнете ја листата на опции што се отвораат кога купувате Premium - веројатно едноставно не им требаат). Сепак, дури и за нормално складирање Лозинки за LastPassисто така успешно се користи: користејќи го, можете лесно да го користите различни прелистувачии на различни уреди, автоматски прима и управува со податоци за овластување каде и да е инсталиран овој додаток.

Првата и наједноставна опција е стандардниот менаџер на лозинки на Chrome, Firefox, Opera или Vivaldi. Речиси сите модерни прелистувачи можат да зачувуваат и автоматски да вметнуваат најавувања и лозинки во потребните полиња. Да, оваа опција не може да се нарече многу функционална, бидејќи и недостигаат некои дополнителни функции како што се генератор на сигурни комбинации и заштитени белешки. Но, можете да го користите целосно бесплатно, и постои синхронизација помеѓу разни уреди, што функционира, се разбира, само ако го користите истиот прелистувач насекаде.

Едноставност, пристапност, бесплатно. Синхронизација помеѓу различни уреди.
− Ниска функционалност и безбедност.

1 Лозинка

1Password постои повеќе од осум години, но отсекогаш бил засенет од LastPass поради неговата прилично висока цена. Може да складира лозинки, податоци банкарски картички, софтверски лиценци и други доверливи информации во безбедно виртуелно складирање. Ова складирање може да се наоѓа на далечински серверили локален уред. Можно е да се синхронизирате преку Wi-Fi, Apple iCloud или Dropbox. Програмерите посветија посебно внимание на алгоритмите за безбедност и шифрирање, благодарение на што оваа услуга не беше забележана во скандали од висок профил.

Сигурност, крос-платформа, функционалност, синхронизација.
- Висока цена.

KeepPass

Ако барате бесплатно решение и не се плашите од тешкотии, тогаш задолжително пробајте го KeePass. Ова е целосно проект со отворен код создаден од независни програмери. Има огромен број на можности благодарение на присуството на цел арсенал на разни додатоци, приклучоци и помошни комунални услуги. Сепак, за возврат ќе мора да се помирите со типичните недостатоци на бесплатното софтверво форма на висока сложеност на развојот и нестабилност на некои елементи.

Базата на податоци за лозинки создадена во KeePass се чува во форма на една датотека, која може да се постави на вашиот хард диск или во некоја облак услуга. Во вториот случај, можете да спроведете синхронизација на податоци помеѓу различни уреди. Постојат додатоци за популарни прелистувачи кои, со различен степен на успех, обезбедуваат замена на најавувања и лозинки на саканите страници. Покрај тоа, KeePass е достапен и на мобилни уреди.

Бесплатно, функционално, безбедно.
− Решение за гикови кои можат да ги изберат и правилно да ги конфигурираат сите потребни компоненти.

Дашлејн

Оваа услуга за складирање лозинки се појави релативно неодамна, но веќе се докажа со неа позитивна страна. Дашлејн има пријатен изглед, добра функционалност и лесно користење. Базата на податоци за лозинки се чува во облакот во шифрирана форма, а постои и синхронизација помеѓу клиентите за различни платформи (Mac, PC, iOS и Android). Меѓу дополнителните функции, неопходно е да се истакне функцијата за автоматско пополнување формулари, генератор на лозинки, можност за промена на лозинки со еден клик и практични алатки за онлајн купување. Но, целиот овој раскош може да избледи за вас ако сакате да користите синхронизација на податоци помеѓу различни уреди. За да го направите ова, ќе мора да купите годишна претплата која чини 39,99 долари, што, гледате, е доста.

Изглед, доверливост, крос-платформа, дигитален паричник.
− Висока цена, недостаток на локално складирање на лозинка.

Кој менаџер со лозинки ќе го изберете ако LastPass навистина стане платен?