Ideje bevallani: a LastPass már nem a régi. Íme, miért érdemes másik jelszótárolóra váltani
Vegyes Cikkek / / April 09, 2023
Láttad már a híreket, hogy hackerek betörtek a LastPassba, és megszerezték a felhasználók jelszavait? Ez csak a jéghegy csúcsa.
A Lifehacker az a hely, ahol mindig hasznos tanácsokat kaphat. Egészségről, sportról, munkáról, technikáról – sok mindenről írunk, és gyakran adunk ajánlásokat. Azonban nem mindegyik állja ki az idő próbáját. Még a legmenőbb és legtökéletesebb szolgáltatások is „elhalványulnak”, a kütyük már nem tetszenek, a népszerű life hackek pedig egyszerűen elvesztik jelentőségüket.
Mindenről, ami végül csalódást okozott nekünk, egy új cikksorozatban fogunk beszélni. Az első hősünk pedig a LastPass jelszókezelő, ami már régóta esedékes.
Valamikor a LastPass nagyon jó volt
A LastPass egy hosszú múltra visszatekintő szolgáltatás. Első verziója 2008-ban jelent meg. Egy évvel később pedig szegmensének egyik vezetője lett. Sokszor a legjobb jelszótárolási megoldásnak nevezték – a legkényelmesebb, legfunkcionálisabb és legmegbízhatóbb. És sokáig az is volt.
A Lifehacker többször is ajánlotta a LastPasst olvasóinak. Végül is a szolgáltatás valóban univerzális, minden népszerű böngészőhöz és mobilalkalmazáshoz kiterjeszthető. A benne lévő összes jelszó titkosítva van, a "felhőben" tárolódik, és szinkronizálható az eszközök között.
A legfontosabb, hogy a LastPass gyors volt, és mindent felkínál, amire csak szüksége lehet, beleértve az összetett jelszógenerátort is, kétszintű hitelesítés és egy űrlapkitöltő, hogy ne kelljen kézzel begépelni semmit. Az egyik készüléktípus esetében pedig ingyenes volt a szolgáltatás. Nos, jó?
A problémák már régen kezdődtek. És ez egy egész hógolyó
Biztosan láttad a LastPass hírt feltörték és a hackereknek sikerült kap ügyfelei jelszavainak titkosított tárolói. Ezek az elmúlt év eseményei, amelyek, úgy tűnik, nagyban rontották a szolgálat hírnevét. De ha globálisan nézzük a problémát, akkor ez messze nem az első csapás a LastPass számára.
A szolgáltatási problémák 2011-ben kezdődtek. Aztán a fejlesztők felfedezték egy anomália a bejövő hálózati forgalomban, majd egy hasonló anomália a kimenőben. Az adminisztrátorok nem találtak biztonsági incidensre utaló jeleket, de azt sem tudták megállapítani, hogy az adatok oda-vissza mozogtak.
A cég hatósági veszteséget nem ismert el, de a rendkívül értékes adatok védelmét szolgáló szolgáltatás számára több mint riasztó volt a hívás.
A biztonság kedvéért a LastPass néhány felhasználót megkívánt a fő jelszavak megváltoztatására. A cég vezérigazgatójának pedig kifogásokat kellett keresnie a "túlzott pánikra".
Ez csak az első jelzés volt, amit a többiek követtek – jelentősebb kárt okozva a szolgáltatás hírnevének. Tehát 2015-ben újabb gyanús incidens történt. Egy másik furcsa tevékenység a cég hálózatán címek kiszivárgásához vezetett Email, tippek felhasználói jelszavakra és néhány kivonatolt adat. Fejlesztők megerősített a feltörés tényét, de biztosította, hogy a titkosított információk zárolás alatt maradtak.
Tovább tovább. 2016-ban a LastPass biztonsági rése, amely lehetővé tette a titkosítatlan adatokhoz való hozzáférést, az volt felfedezték független cég számára online biztonság Észlel. 2017-ben és 2019-ben pedig Tavis Ormandy fehér hacker több lyukat is talált a Chrome szolgáltatásbővítményében. Az egyik sebezhetőség megengedett támadók, hogy megszerezzék a felhasználónevet és jelszót.
Egy másik Achilles-sarok, amely a mesterjelszó helyi fájlban való tárolásához kapcsolódik felfedezték 2020-ban. 2021-ben pedig a szakértők megtalált harmadik féltől származó nyomkövetők a LastPass Android alkalmazásban. Elérkeztünk tehát 2022-hez, amikor egy egész sor incidens történt. Egyik rosszabb, mint a másik:
- Intruder First kapott illetéktelen hozzáférés a LastPass fejlesztői környezet egyes részeihez, a forráskódhoz és a műszaki információkhoz.
- Aztán ennek az embernek sikerült csapkod a vezető mérnök számítógépét, és megszerezte a mesterjelszavát.
- Aztán egy hacker behatolt a főmérnökök által használt vállalati trezorba. Voltak biztonsági másolatok az ügyfélfájlokról.
- Nos, mint a cseresznye a tortán... fogadása hozzáférést a 2022. augusztus 14-i felhasználói adatbázishoz, valamint a jelszótároló több biztonsági másolatához.
Ezt az erőteljes támadást követően a LastPass azt állította, hogy ügyfelei többségének nem kellett semmit tennie. De független szakértők ajánlott a szolgáltatás minden felhasználóját, hogy módosítsa jelszavát, és legyen különösen éber az esetleges adathalászat támadások.
Mindez olyan ügyfelek kiáramlásához vezetett, akik sokáig nem mertek más tárhelyre váltani, adataik biztonságát remélve a LastPass falai között. Ugyanakkor az utolsó közülünk megtagadta a szolgáltatást.
Ha még mindig a LastPass-on van, akkor ideje futni
Védje magát és adatait – változtassa meg a jelszókezelőt. Váltson át a LastPass-ról egy alternatív szolgáltatásra – az övék elég sok. Ha valami olyan működőképes és hatékony dolgot szeretne, akkor van 1Password, Bitwarden vagy NordPass. Ha valami szerényebbre vágyik, ami sokkal kevésbé vonzza magára a támadók figyelmét, nézze meg közelebbről az Enpasst, a Dashlane-t vagy a Keepert.
A Lifehacker szerkesztősége főként a Bitwarden és az 1Password kódokat használja személyes jelszavakhoz. Ezek a szolgáltatások minden szükséges funkcióval rendelkeznek, és az első lehetőségnél nem kell fizetni értük. Az 1Password megbízhatóbb, de pénzbe kerül.
Mit használsz a jelszavak tárolására és miért? Mondd el a megjegyzésekben.
Olvassa el is🧐
- 6 ok, amiért ne mentse a jelszavakat a böngészőben
- A NordPass jelentésből kiderül, hogy sok vezető nevetségesen egyszerű jelszavakat használ
- Hogyan helyezhet el jelszót a Windows rendszeren, távolítsa el és állítsa vissza, ha hirtelen elfelejti