WikiDer > LastPass
Оригинальный автор (ы) | Marvasol, Inc. (dba LastPass) |
---|---|
Разработчики) | LogMeIn |
изначальный выпуск | 22 августа 2008 г. |
Платформа | Fire Fox, Гугл Хром, Internet Explorer 11, Сафари, Опера, Android 5.0 и позже, iOS 11 и позже, Windows 7 и позже, macOS, UWP, x86 и AMD64 Linux, Maxthon[1] |
Доступно в | Английский и 6 других языков[2] |
Тип | Менеджер паролей |
Лицензия | Freemium |
Интернет сайт | последний проход |
LastPass это freemium менеджер паролей который хранит зашифрованные пароли в Интернете. Стандартная версия LastPass поставляется с веб-интерфейсом, но также включает плагины для различных веб-браузеров и приложений для многих смартфонов.[1] Он также включает поддержку букмарклеты.[3] LogMeIn, Inc. приобрел LastPass в октябре 2015 года.[4]
Обзор
Контент пользователя в LastPass, включая пароли и секретные заметки, защищен одним мастер-паролем. Контент синхронизируется с любым устройством, на котором пользователь использует программное обеспечение LastPass или расширения приложений. Информация зашифрована с помощью AES-256 шифрование с PBKDF2 SHA-256, соленый хеши, а также возможность увеличения количества повторений пароля. Шифрование и дешифрование происходит на уровне устройства.[1][5]
LastPass имеет заполнитель форм, который автоматизирует ввод пароля и заполнение форм, а также поддерживает генерацию пароля, совместное использование сайта и ведение журнала сайта, а также двухфакторную аутентификацию. LastPass поддерживает двухфакторную аутентификацию с помощью различных методов, включая приложение LastPass Authenticator для мобильных телефонов, а также другие, включая ЮбиКей.[6] LastPass доступен как расширение для многих веб-браузеров, включая Гугл Хром, Mozilla Fire Fox, Яблоко Сафари, Microsoft Edge, Вивальди, и Опера. Также есть приложения для смартфонов с Android, iOS, или же телефон с операционной системой Виндоус операционные системы. Приложения имеют автономную функциональность.[1]
В отличие от некоторых других основных менеджеров паролей, LastPass предлагает пользовательский Подсказка пароля, разрешая доступ, когда мастер-пароль отсутствует.[7]
История
2 декабря 2010 г. было объявлено, что LastPass приобрел Xmarks, расширение веб-браузера, которое позволяет синхронизировать пароли между браузерами. Приобретение означало выживание Xmarks, у которого были финансовые проблемы, и, хотя эти два сервиса оставались отдельными, приобретение привело к снижению цены на платные премиальные подписки, объединяющие эти два сервиса.[8][9] 30 марта 2018 г. было объявлено о закрытии службы Xmarks 1 мая 2018 г., о чем говорится в электронном письме пользователям LastPass.[10]
9 октября 2015 г. LogMeIn, Inc. приобрела LastPass за 110 миллионов долларов. Компания была объединена под брендом LastPass с аналогичным продуктом Meldium, который уже был приобретен LogMeIn.[4][11][12]
3 февраля 2016 года LastPass представил новый логотип. Предыдущий логотип, на котором была изображена звездочка, был предметом судебного иска о товарных знаках, поданного в начале 2015 г. Электронная торговля, логотип которого также отмечен звездочкой.[13]
16 марта 2016 г. LastPass выпустил LastPass Authenticator, бесплатный двухфакторная аутентификация приложение.[14][15]
2 ноября 2016 года LastPass объявил, что бесплатные учетные записи теперь будут поддерживать синхронизацию пользовательского контента с любым устройством - функция, ранее доступная только для платных учетных записей. Раньше бесплатная учетная запись в сервисе означала, что она будет синхронизировать контент только с одним приложением.[16][17]
В августе 2017 года LastPass анонсировала LastPass Families, семейный план для обмена паролями, информацией о банковском счете и другими конфиденциальными данными между членами семьи по годовой подписке за 48 долларов.[18]
Прием
В марте 2009 г. Журнал ПК наградил LastPass пятью звездами, знаком «Отлично» и наградой «Выбор редакции» за управление паролями.[19] Новый обзор, проведенный в 2016 году после выпуска LastPass 4.0, снова принес сервису пять звезд, отметку «Отлично» и награду «Выбор редакции».[20]
В июле 2010 года модель безопасности LastPass была подробно рассмотрена и одобрена Стив Гибсон в его Безопасность сейчас подкаст выпуск 256.[21] Он также вернулся к этой теме и к тому, как она соотносится с Национальное Агенство Безопасности в выпуске подкаста Security Now 421.[22]
В октябре 2015 года, когда LogMeIn приобрела LastPass, блог основателя Джо Сигриста был заполнен комментариями пользователей, критикующими LogMeIn. [23] Веб-сайты ZDNet, Forbes и Infoworld опубликовали статьи, в которых упоминались протесты существующих клиентов, некоторые из которых заявили, что откажутся вести дела с LogMeIn, а также высказали другие опасения по поводу репутации LogMeIn.[24][25][26]
В 2017 году Потребительские отчеты статья Дэн Гвидо, генеральный директор След битов, назвал LastPass популярным менеджером паролей (наряду с Dashlane, KeePass, и 1Пароль), выбор между которыми в основном зависит от личных предпочтений.[7] В марте 2019 года Lastpass был удостоен награды за лучший продукт в области управления идентификацией во время седьмого ежегодного конкурса Cyber Defense Magazine InfoSec Awards.[27]
Проблемы с безопасностью
Инцидент безопасности 2011 года
Во вторник, 3 мая 2011 г., LastPass обнаружил аномалию во входящем сетевом трафике, а затем аналогичную аномалию в исходящем трафике. Администраторы не обнаружили ни одного из признаков классического нарушения безопасности (например, повышение прав администратора до уровня администратора), но и не смогли определить причину аномалий. Кроме того, учитывая размер аномалий, теоретически возможно, что такие данные, как адреса электронной почты, сервер соль, а соленые хэши паролей были скопированы из базы данных LastPass. Чтобы решить эту проблему, LastPass отключил «взломанные» серверы, чтобы их можно было восстановить, и 4 мая 2011 г. попросил всех пользователей изменить свои мастер-пароли. Они сказали, что, хотя прямых доказательств того, что какая-либо информация о клиентах была скомпрометирована, нет, они предпочли проявить осторожность. Однако в результате пользовательский трафик перегрузил серверы входа в систему, и администраторы компании - учитывая, что возможность взлома существующих паролей была незначительной - просили пользователей отложить смену паролей до дальнейшего уведомления.[28][29]
2015 нарушение безопасности
В понедельник, 15 июня 2015 года, LastPass опубликовал сообщение в блоге, в котором говорилось, что команда LastPass обнаружила и остановила подозрительную активность в своей сети в предыдущую пятницу. Их расследование показало, что адреса электронной почты учетных записей LastPass, напоминания о паролях, серверные параметры для каждого пользователя и хэши аутентификации были скомпрометированы; однако зашифрованные данные пользовательского хранилища не пострадали. В блоге компании говорится: «Мы уверены, что наших мер по шифрованию достаточно для защиты подавляющего большинства пользователей. LastPass усиливает хэш аутентификации с помощью случайной соли и 100 000 раундов PBKDF2-SHA256 на стороне сервера в дополнение к раундам, выполненным клиентом. - Сторона. Это дополнительное усиление затрудняет атаку украденных хешей со значительной скоростью ».[30][31]
Инциденты безопасности 2016 г.
В июле 2016 года в блоге, опубликованном независимой фирмой по онлайн-безопасности Detectify, подробно описан метод чтения паролей в виде открытого текста для произвольных доменов из хранилища пользователя LastPass, когда этот пользователь посещает вредоносный веб-сайт. Эта уязвимость стала возможной из-за плохо написанного кода парсинга URL в расширении LastPass. Detectify не раскрывала уязвимость до тех пор, пока LastPass не был уведомлен в частном порядке и не смог исправить расширение своего браузера.[32] LastPass отреагировал на публичное раскрытие Detectify в сообщении в собственном блоге, в котором они сообщили о дополнительной уязвимости, обнаруженной членом группы безопасности Google и уже исправленной LastPass.[33]
Инциденты безопасности 2017 г.
20 марта Тэвис Орманди обнаружил уязвимость в расширении LastPass Chrome. Эксплойт применялся ко всем клиентам LastPass, включая Chrome, Firefox и Edge. Эти уязвимости были отключены 21 марта и исправлены 22 марта.[34]
25 марта Орманди обнаружил дополнительную брешь в системе безопасности, позволяющую удаленно выполнять код при переходе пользователя на вредоносный веб-сайт. Эта уязвимость также была исправлена.[35][36]
Инциденты безопасности 2019 г.
В пятницу, 30 августа 2019 г., Тэвис Орманди сообщили об уязвимости в расширении браузера LastPass, в которой веб-сайты с вредоносным кодом JavaScript могли получить имя пользователя и пароль, вставленные менеджером паролей на ранее посещенном сайте.[37][38] К 13 сентября 2019 года Lastpass публично объявил об уязвимости, признав, что проблема ограничена только расширениями Google Chrome и Opera; Тем не менее, все платформы получили исправления уязвимости.[39] [40]
Смотрите также
Рекомендации
- ^ а б c d «Лучший способ управлять паролями». LogMeIn. Получено 8 августа 2018.
- ^ "Какие языки поддерживает LastPass?". LogMeIn. Получено 14 ноября 2020.
- ^ "Букмарклеты". LogMeIn. Архивировано из оригинал 26 февраля 2017 г.. Получено 8 августа 2018.
- ^ а б Сигрист, Джо (9 октября 2015 г.). «LastPass присоединяется к семье LogMeIn». blog.lastpass.com. LogMeIn. Получено 8 августа 2018.
- ^ Хоффман, Крис (9 августа 2012 г.). «11 способов сделать вашу учетную запись LastPass еще более безопасной». How-To Компьютерщик.
- ^ Эдди, Макс (30 марта 2016 г.). «LastPass Authenticator (для iPhone)». PCMag. Зифф Дэвис.
- ^ а б Чайковский, Андрей (7 февраля 2017). «Все, что вам нужно знать о менеджерах паролей». Потребительские отчеты.
- ^ Готт, Эмбер (2 декабря 2010 г.). «LastPass приобретает Xmarks!». blog.lastpass.com. LogMeIn.
- ^ Парди, Кевин (2 декабря 2010 г.). «LastPass приобретает Xmarks, сохраняя бесплатные планы синхронизации закладок». Лайфхакер. Gizmodo Media Group.
- ^ Бринкманн, Мартин (1 апреля 2018 г.). «LogMeIn закроет Xmarks 1 мая 2018 г.». gHacks. В архиве с оригинала на 1 апреля 2018 г.
- ^ Бродкин, Джон (9 октября 2015 г.). «LogMeIn покупает менеджер паролей LastPass за 110 миллионов долларов». Ars Technica. Condé Nast.
- ^ Перес, Сара (9 октября 2015 г.). «LogMeIn приобретает программное обеспечение для управления паролями LastPass за 110 миллионов долларов». TechCrunch. Сеть Oath Tech.
- ^ Зигрист, Джо. «Встречайте новый логотип LastPass». LastPass. Получено 2 ноября, 2016.
- ^ Готт, Эмбер (16 марта 2016 г.). «Аутентификатор LastPass упрощает два фактора». blog.lastpass.com. LogMeIn.
- ^ Уитвам, Райан (16 марта 2016 г.). «LastPass выпускает собственное приложение для двухфакторной мобильной аутентификации». AndroidPolice. Нелогичный робот.
- ^ Зигрист, Джо (2 ноября 2016 г.). «Получите LastPass везде: доступ с нескольких устройств теперь бесплатный!». blog.lastpass.com. LogMeIn.
- ^ Кастренакес, Джейкоб (2 ноября 2016 г.). "Теперь на один повод не использовать диспетчер паролей меньше". Грани. Vox Media.
- ^ Маринг, Джо (3 августа 2017 г.). «LastPass объявляет цены на план« Семья »; вдвое увеличивает стоимость варианта Премиум». 9to5Google.
- ^ Рубенкинг, Нил (20 марта 2009 г.). «Обзор LastPass 1.50». PCMag. Зифф Дэвис. Архивировано 24 марта 2009 года.CS1 maint: неподходящий URL (ссылка на сайт)
- ^ Рубенкинг, Нил (2 ноября 2016 г.). «Обзор LastPass 4.0». Журнал ПК. Получено 2 ноября, 2016.
- ^ Гибсон, Стив; Ляпорт, Лео (10 июня 2010 г.). «Безопасность сейчас 256: Безопасность LastPass». TWiT.tv.
- ^ Гибсон, Стив; Ляпорт, Лео (11 сентября 2013 г.). "Security Now 421: Идеальное обвинение". TWiT.tv.
- ^ Бродкин, Джон (9 октября 2015 г.). «LogMeIn покупает менеджер паролей LastPass за 110 миллионов долларов». Ars Technica. Condé Nast.[требуется проверка]
- ^ «LastPass куплен LogMeIn за 110 миллионов долларов; ... протесты пользователей LastPass, некоторые из которых говорят, что отказываются вести дела с LogMeIn». ZDNet. 2015-10-09. Получено 2019-06-12.[требуется проверка]
- ^ «LastPass присоединяется к LogMeIn, но не все в восторге от этого». Forbes. 2015-10-09. Получено 2019-06-12.[требуется проверка]
- ^ «LogMeIn приобретает LastPass, чтобы расширить портфолио идентичности». InfoWorld. 2015-10-09. Получено 2019-06-12.[требуется проверка]
- ^ Шах, Мегха (20 марта 2019 г.). «LastPass от LogMeIn удостоен награды InfoSec 2019». Техническая воронка.
- ^ Сигрист, Джо (16 мая 2011 г.). «Уведомление о безопасности LastPass». blog.lastpass.com. LogMeIn.
- ^ Рафаэль-младший (5 мая 2011 г.). «Генеральный директор LastPass объясняет возможный взлом». Компьютерный мир. IDG.
- ^ Сигрист, Джо (10 июля 2015 г.). «Уведомление о безопасности LastPass». blog.lastpass.com. LogMeIn.
- ^ Гудин, Дэн (15 июня 2015 г.). «Взлом облачного LastPass раскрывает хешированные мастер-пароли». Ars Technica. Condé Nast.
- ^ Карлссон, Матиас (27 июля 2016 г.). «Как я заставил LastPass выдать мне все ваши пароли». Detectify Labs. Обнаружить.
- ^ Готт, Эмбер (27 июля 2016 г.). «Обновления безопасности LastPass». blog.lastpass.com. LogMeIn.
- ^ Готт, Эмбер (22 марта 2017 г.). «Важные обновления безопасности для наших пользователей». blog.lastpass.com. LogMeIn.
- ^ Орманди, Трэвис (25 марта 2017 г.). "{Без названия}". @taviso. Twitter.
- ^ Сигрист, Джо (27 марта 2017 г.). «Обновление безопасности для расширения LastPass». blog.lastpass.com. LogMeIn.
- ^ в 19:36, Шон Николс в Сан-Франциско 16 сентября 2019 года. «Сколько проходов может пройти LastPass, если LastPass прошел последний проход? Исправлена дыра в безопасности, вызывающая утечку логина». www.theregister.co.uk. Получено 2019-09-26.
- ^ "Ошибка, связанная с открытием пароля, была удалена из LastPass". Проводной. ISSN 1059-1028. Получено 2019-09-26 - через www.wired.com.
- ^ «Выпуск 1930 - проект-ноль - Project Zero - монорельс». bugs.chromium.org. Получено 2019-09-17.
- ^ Гудин, Дэн (2019-09-16). "Ошибка раскрытия пароля удалена из расширений LastPass". Ars Technica. Получено 2019-09-17.