Ostatnia przepustka
 | |
| Przemysł |
Zarządzanie hasłami Bezpieczeństwo komputera |
|---|---|
| Założony | 2008 |
| Siedziba | Stany Zjednoczone |
Kluczowi ludzie |
Karim Toubba (dyrektor generalny, 2022) |
| Przychód | 200 milionów dolarów (2021) |
Liczba pracowników |
550+ (2022) |
| Strona internetowa | |
|
Przypisy / odniesienia | |
LastPass to menedżer haseł dystrybuowany w formie subskrypcji oraz modelu freemium z ograniczoną funkcjonalnością. Standardowa wersja LastPass jest dostarczana z interfejsem internetowym , ale zawiera również wtyczki do różnych przeglądarek internetowych i aplikacje dla wielu smartfonów . Obejmuje również obsługę bookmarkletów . LogMeIn, Inc. (obecnie GoTo ) nabył LastPass w październiku 2015 r. 14 grudnia 2021 r. LogMeIn ogłosił, że LastPass zostanie przekształcony w oddzielną firmę i przyspieszy harmonogram jego wydania.
LastPass doznał poważnych incydentów bezpieczeństwa w latach 2011-2022. W szczególności pod koniec 2022 r. dane użytkowników, informacje rozliczeniowe i skarbce (z niektórymi polami zaszyfrowanymi, a inne nie) zostały naruszone, co skłoniło wielu specjalistów ds. Bezpieczeństwa do wezwania użytkowników do zmiany wszystkich haseł i przełącz się na inne menedżery haseł.
Przegląd
Zawartość użytkownika w LastPass, w tym hasła i bezpieczne notatki, jest chroniona jednym hasłem głównym. Treść jest synchronizowana z dowolnym urządzeniem, na którym użytkownik korzysta z oprogramowania LastPass lub rozszerzeń aplikacji. Informacje są szyfrowane za pomocą szyfrowania AES-256 z PBKDF2 SHA-256 , solonymi skrótami i możliwością zwiększenia wartości iteracji hasła. Szyfrowanie i deszyfrowanie odbywa się na poziomie urządzenia.
LastPass ma narzędzie do wypełniania formularzy , które automatyzuje wprowadzanie hasła i wypełnianie formularzy, a także obsługuje generowanie haseł , udostępnianie witryn i rejestrowanie witryn oraz uwierzytelnianie dwuskładnikowe. LastPass obsługuje uwierzytelnianie dwuskładnikowe za pomocą różnych metod, w tym aplikacji LastPass Authenticator na telefony komórkowe, a także innych, w tym YubiKey . LastPass jest dostępny jako rozszerzenie do wielu przeglądarek internetowych, w tym Google Chrome , Mozilla Firefox , Apple Safari , Microsoft Edge , Vivaldiego i opery . Posiada również aplikacje dostępne na smartfony z systemem operacyjnym Android , iOS lub Windows Phone . Aplikacje mają funkcjonalność offline. Należy pamiętać, że LastPass wyłącza ustawienia przeglądarki Google Chrome, umożliwiając użytkownikowi automatyczne zapisywanie haseł w przeglądarce. [zobacz https://support.google.com/chrome/a/thread/7312208/how-do-i-change-offer-to-save-password-bar-when-it-s-locked?hl=en ]
podpowiedź do hasła ustawioną przez użytkownika , umożliwiając dostęp, gdy brakuje hasła głównego.
Historia
W dniu 2 grudnia 2010 roku ogłoszono, że LastPass nabył Xmarks , rozszerzenie przeglądarki internetowej, które umożliwiło synchronizację haseł między przeglądarkami. Przejęcie oznaczało przetrwanie Xmarks, który miał kłopoty finansowe i chociaż te dwie usługi pozostały oddzielne, przejęcie doprowadziło do obniżenia ceny płatnych subskrypcji premium łączących te dwie usługi. 30 marca 2018 r. ogłoszono, że usługa Xmarks zostanie zamknięta 1 maja 2018 r., zgodnie z e-mailem do użytkowników LastPass.
9 października 2015 r. firma LogMeIn, Inc. nabyła LastPass za 110 mln USD. Firma została połączona pod marką LastPass z podobnym produktem Meldium, który został już przejęty przez LogMeIn.
3 lutego 2016 LastPass zaprezentował nowe logo . Poprzednie logo, które wyraźnie zawierało gwiazdkę , było przedmiotem pozwu o znak towarowy złożonego na początku 2015 roku przez firmę E-Trade , której logo również zawiera gwiazdkę.
16 marca 2016 r. LastPass wypuścił LastPass Authenticator, bezpłatną aplikację do uwierzytelniania dwuskładnikowego .
2 listopada 2016 r. LastPass ogłosił, że bezpłatne konta będą teraz obsługiwać synchronizację treści użytkownika z dowolnym urządzeniem, co było wcześniej dostępne wyłącznie dla kont płatnych. Wcześniej darmowe konto w usłudze oznaczało synchronizację treści tylko z jedną aplikacją.
W sierpniu 2017 r. LastPass ogłosił LastPass Families, plan rodzinny udostępniania haseł, informacji o koncie bankowym i innych poufnych danych członkom rodziny za roczną subskrypcję w wysokości 48 USD. Podwoili również cenę wersji Premium, nie dodając do niej żadnych nowych funkcji. Zamiast tego usunięto niektóre funkcje darmowej wersji.
16 lutego 2021 r. LastPass ogłosił, że od 16 marca bezpłatne wersje będą dostępne tylko na komputerach stacjonarnych lub urządzeniach mobilnych, a nie na obu. Każdy użytkownik, który chciałby nadal korzystać z obu, musiałby zapłacić za wersję premium (tzn. płatną). W tym samym czasie zaprzestaliby również obsługi poczty e-mail dla bezpłatnych użytkowników.
14 grudnia 2021 r. firma LogMeIn, Inc. ogłosiła, że LastPass powstanie jako niezależna firma
Przyjęcie
W marcu 2009 r. PC Magazine przyznał LastPass pięć gwiazdek, znak „Doskonały” i „Wybór redaktorów” za zarządzanie hasłami. Nowa recenzja w 2016 roku po wydaniu LastPass 4.0 ponownie przyniosła usłudze pięć gwiazdek, znak „Wybitny” i wyróżnienie „Wybór redakcji”.
W lipcu 2010 roku model bezpieczeństwa LastPass został obszernie omówiony i zatwierdzony przez Steve'a Gibsona w jego 256 odcinku podcastu Security Now. Powrócił również do tematu i tego, jak odnosi się on do 421 odcinka podcastu Security Now Agencji Bezpieczeństwa Narodowego .
W październiku 2015 r., Kiedy LogMeIn przejął LastPass, blog założyciela Joe Siegrista był wypełniony komentarzami użytkowników wyrażającymi krytykę LogMeIn. Witryny internetowe ZDNet, Forbes i Infoworld opublikowały artykuły wspominające o oburzeniu obecnych klientów, z których niektórzy powiedzieli, że odmówią prowadzenia interesów z LogMeIn, i zgłosili inne obawy dotyczące reputacji LogMeIn.
W artykule Consumer Reports z 2017 roku Dan Guido, dyrektor generalny Trail of Bits, nazwał LastPass popularnym menedżerem haseł (obok Dashlane , KeePass i 1Password ), a wybór między nimi zależy głównie od osobistych preferencji. W marcu 2019 roku Lastpass otrzymał nagrodę Best Product in Identity Management podczas siódmego dorocznego konkursu Cyber Defense Magazine InfoSec Awards.
W lutym 2021 roku, w odpowiedzi na ograniczenie przez LastPass darmowego poziomu do jednego typu urządzenia, Barry Collins z Forbes nazwał tę zmianę „ przynętą i zamianą ”, która sprawia, że darmowe konta są „znacznie mniej przydatne niż kiedyś”, co „rujnuje” darmowy poziom.
Incydenty bezpieczeństwa
Incydent bezpieczeństwa z 2011 roku
We wtorek 3 maja 2011 r. firma LastPass wykryła anomalię w przychodzącym ruchu sieciowym, a następnie podobną anomalię w ruchu wychodzącym. Administratorzy nie wykryli żadnych oznak klasycznego naruszenia bezpieczeństwa (na przykład podniesienie uprawnień użytkownika niebędącego administratorem do uprawnień administratora), ale nie byli też w stanie określić przyczyny anomalii. Ponadto, biorąc pod uwagę rozmiar anomalii, teoretycznie możliwe było, że dane, takie jak adresy e-mail, sól serwera , a solone skróty haseł zostały skopiowane z bazy danych LastPass. Aby zaradzić tej sytuacji, LastPass wyłączył „naruszone” serwery, aby można je było odbudować, a 4 maja 2011 r. zażądał od wszystkich użytkowników zmiany haseł głównych. Powiedzieli, że chociaż nie ma bezpośrednich dowodów na to, że jakiekolwiek informacje o klientach zostały naruszone, woleli zachować ostrożność. Jednak wynikający z tego ruch użytkowników przeciążył serwery logowania, a administratorzy firmy — biorąc pod uwagę możliwość, że istniejące hasła, które zostały naruszone, były trywialnie małe — poprosili użytkowników o opóźnienie zmiany haseł do odwołania.
Naruszenie bezpieczeństwa w 2015 roku
W poniedziałek, 15 czerwca 2015 r., LastPass opublikował post na blogu wskazujący, że zespół LastPass odkrył i zatrzymał podejrzaną aktywność w ich sieci w poprzedni piątek. Ich dochodzenie ujawniło, że naruszono adresy e-mail konta LastPass, przypomnienia hasła, sole serwera na użytkownika i skróty uwierzytelniające; nie miało to jednak wpływu na zaszyfrowane dane w skarbcu użytkownika. Na firmowym blogu napisano: „Jesteśmy przekonani, że nasze środki szyfrowania są wystarczające do ochrony zdecydowanej większości użytkowników. LastPass wzmacnia hash uwierzytelniania losową solą i 100 000 rund PBKDF2-SHA256 po stronie serwera, oprócz rund wykonanych przez klienta -side. To dodatkowe wzmocnienie utrudnia atakowanie skradzionych skrótów z jakąkolwiek znaczną szybkością.
Incydenty bezpieczeństwa w 2016 roku
W lipcu 2016 r. post na blogu opublikowany przez niezależną firmę Detectify zajmującą się bezpieczeństwem online szczegółowo opisał metodę odczytywania haseł w postaci zwykłego tekstu dla dowolnych domen ze skarbca użytkownika LastPass, gdy użytkownik ten odwiedzał złośliwą stronę internetową. Ta luka była możliwa dzięki źle napisanemu kodowi analizującemu adresy URL w rozszerzeniu LastPass. Luka nie została ujawniona publicznie przez Detectify, dopóki LastPass nie został powiadomiony prywatnie i nie był w stanie naprawić rozszerzenia przeglądarki. LastPass odpowiedział na publiczne ujawnienie przez Detectify w poście na swoim własnym blogu, w którym ujawnił wiedzę o dodatkowej luce, odkrytej przez członka zespołu ds. bezpieczeństwa Google i już naprawionej przez LastPass.
Incydenty bezpieczeństwa w 2017 roku
20 marca Tavis Ormandy odkrył lukę w rozszerzeniu LastPass Chrome. Exploit dotyczył wszystkich klientów LastPass, w tym Chrome, Firefox i Edge. Luki te zostały wyłączone 21 marca i załatane 22 marca.
25 marca Ormandy wykrył dodatkową lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu na podstawie tego, że użytkownik przechodzi do złośliwej strony internetowej. Ta luka została również załatana.
Incydenty bezpieczeństwa w 2019 roku
W piątek, 30 sierpnia 2019 roku, Tavis Ormandy zgłosił lukę w rozszerzeniu przeglądarki LastPass, w której strony internetowe ze złośliwym kodem JavaScript mogą uzyskiwać nazwę użytkownika i hasło wprowadzone przez menedżera haseł na poprzednio odwiedzanej stronie. Do 13 września 2019 r. Lastpass publicznie ogłosił lukę, przyznając, że problem ogranicza się tylko do rozszerzeń Google Chrome i Opera; niemniej jednak wszystkie platformy otrzymały łatkę luki w zabezpieczeniach.
Incydent bezpieczeństwa w 2020 r
W dniu 06.04.2020 została wykryta luka dotycząca przechowywania hasła głównego w rozszerzeniu webowym. LastPass nie korzystał z interfejsu API ochrony danych systemu Windows, ale przechowywał hasło główne w pliku lokalnym, gdy opcja „Zapamiętaj hasło” jest aktywna.
2021 zewnętrzne moduły śledzące i incydenty związane z bezpieczeństwem
W 2021 roku odkryto, że aplikacja na Androida zawiera narzędzia śledzące innych firm . Ponadto pod koniec 2021 r. artykuł na stronie BleepingComputer informował, że użytkownicy LastPass zostali ostrzeżeni, że ich hasła główne zostały naruszone.
Incydenty bezpieczeństwa w 2022 r
Pod koniec 2022 r. firma LastPass zgłosiła na blogu serię włamań do swojej infrastruktury, w wyniku których informacje o klientach wpadły w ręce cyberprzestępców. Skradzione informacje obejmują nazwiska, adresy e-mail, adresy rozliczeniowe, częściowe karty kredytowe i adresy URL witryn. Ponadto skradziono niektóre dane zaszyfrowane hasłami głównymi użytkowników, w tym nazwy logowania i hasła do witryn. Bezpieczeństwo zaszyfrowanych danych zależy od siły hasła głównego użytkownika lub od tego, czy hasło zostało wcześniej ujawnione, oraz od liczby zastosowanych rund szyfrowania.
25 sierpnia 2022 r. firma LastPass opublikowała post na blogu informujący klientów, że osoba trzecia uzyskała nieautoryzowany dostęp do części ich środowiska programistycznego, kodu źródłowego i informacji technicznych za pośrednictwem jednego przejętego konta programisty.
W listopadzie LastPass opublikował aktualizacje dotyczące naruszenia bezpieczeństwa i stwierdził, że dostęp do niektórych danych klientów uzyskała strona trzecia. LastPass zapewnił użytkowników, że hasła przechowywane w usłudze są nadal bezpieczne, ponieważ szyfrowanie i odszyfrowywanie haseł odbywa się na urządzeniu użytkownika.
W grudniu LastPass poinformował, że aktor uzyskał kopię zapasową danych klientów i danych skarbca klientów (baz danych haseł), wykorzystując niektóre informacje uzyskane podczas sierpniowego naruszenia. Dane klientów obejmowały nazwiska klientów, adresy rozliczeniowe, numery telefonów, adresy e-mail, adresy IP i częściowe numery kart kredytowych. Dane skarbca obejmowały, dla każdego naruszonego użytkownika, niezaszyfrowane adresy URL i nazwy witryn oraz zaszyfrowane nazwy użytkowników, hasła i dane formularzy dla tych witryn. Według raportu skradzione informacje nie zawierały zwykłej kopii hasła głównego użytkownika, które byłoby wymagane do utworzenia nowego skrótu kryptograficznego, do odszyfrowania zaszyfrowanych części danych skarbca (takich jak nazwy użytkownika i hasła) oraz których LastPass nie przechowuje. W raporcie nie ujawniono, kiedy wykonano kopię zapasową danych w skarbcu, kiedy dane w skarbcu zostały skradzione, ilu użytkowników zostało dotkniętych tym problemem, które pola w danych w skarbcu zostały zaszyfrowane, czy nie, ani czy pobrano metadane skarbca, w tym liczbę rund szyfrowanie stosowane w zaszyfrowanych częściach skarbca.
Grudniowe ujawnienie sugerowało, że gdyby klienci wybrali silne hasło główne i wybrali, w zaawansowanych ustawieniach konta, użycie wielu tysięcy rund szyfrowania PBKDF2 - HMAC - SHA-256 (600 000 iteracji zalecanych przez OWASP , od 2022 r.) , odszyfrowanie haseł zajęłoby miliony lat. Chociaż nie wspominano o nowych klientach przed czerwcem 2012 r., domyślnie do ich hasła głównego zastosowano pojedynczy skrót PBKDF2-HMAC-SHA-256, z nazwami użytkowników i hasłami do witryn zaszyfrowanymi słabym szyfrem AES- ECB , domyślna liczba iteracji, która została zwiększona dla nowych klientów do 500 cykli szyfrowania, a następnie zwiększona do wartości domyślnej dla nowych kont do 5000, przed domyślną liczbą 100 100 iteracji, minimalną długością hasła głównego wynoszącą 12 znaków i silniejszym algorytmem AES - Ciper CBC zastosowany domyślnie dla nowych klientów w lutym 2018 r.
W raporcie ze stycznia 2023 r. stwierdzono, że oprócz skarbców uzyskano niektóre ustawienia MFA i klucze do przechowywania.
Kolejny raport z końca lutego 2023 r. ujawnił, że cyberprzestępca włamał się do komputera starszego inżyniera DevOps , użył keyloggera do uzyskania hasła głównego tego inżyniera i uzyskał dostęp do zaszyfrowanego skarbca korporacyjnego, który był współdzielony tylko przez czterech inżynierów. Ten skarbiec zawierał klucze do zasobników S3 kopii zapasowych plików klientów.
Komentatorzy wyrazili obawy, że jeśli hasło główne użytkownika będzie słabe lub wycieknie, zaszyfrowane części danych klienta mogą zostać odszyfrowane . LastPass stwierdził, że większość jego klientów nie wymaga żadnych działań, ale inne źródła zalecały zmianę wszystkich haseł i czujność przed możliwymi phishingowymi . Niektóre źródła skrytykowały odpowiedź LastPass i zgłosiły dodatkowe obawy dotyczące liczby wymaganych rund szyfrowania.
Pozew zbiorowy został wszczęty na początku 2023 r., A anonimowy powód stwierdził, że LastPass nie zapewnił bezpieczeństwa informacji użytkowników. Szczególną troską w pozwie było zwiększone ryzyko wykorzystania danych w phishingowych .
Zobacz też
Linki zewnętrzne
| Prawnie zastrzeżony | |
|---|---|
| Otwarte źródło | |
| Przerwane | |
