LastPass je razprodan. Vendar obstajajo alternative. Kritične napake so bile ugotovljene v upravitelju gesel LastPass, razširitvah za Chrome in Firefox Dodajanje osebnih podatkov

Poleti 2016 je strokovnjak za Google Project Zero Tavis Ormandy iskreno dejal: "Ali ljudje res uporabljajo to stvar LastPass?" Nato je Ormandy odkril ranljivost v kodi dodatka LastPass za Firefox 0-day, ki je omogočila oddaljeno ogrožanje vseh uporabniških gesel.

Zdaj, skoraj leto dni kasneje, se je strokovnjak ponovno odločil preizkusiti varnost LastPassa in žal ni mogoče reči, da je aplikacija ta test prestala. Ormandy piše, da je odkril težavo v uradni razširitvi LastPass za Brskalnik Chrome. Po besedah ​​raziskovalca vsebuje content_scrip razširitve ranljivost, ki bi lahko v primeru napada povzročila ogrožanje vseh poverilnic, shranjenih v aplikaciji. Poleg tega mora napadalec za izvedbo napada samo zvabiti uporabnika na zlonamerno spletno mesto.

Raziskovalec pojasnjuje, da se skripta uporablja samo za dostop do določene domene na lastpass.com, in če si podrobneje ogledate, kako deluje, je videti takole:

Tu je, kot ugotavlja Ormandy, napaka. Skript posreduje nepreverjena okenska sporočila razširitvi, kar je lahko nevarno, saj lahko kdorkoli naredi naslednje:

To bo dalo napadalcu popoln dostop in bo prisilil LastPass k izvajanju ukazov RPC, ki jih je lahko na stotine, najbolj nevarna pa je seveda možnost kopiranja in izpolnjevanja gesel. V nekaterih primerih lahko to privede celo do izvajanja poljubne kode na uporabnikovem računalniku z izkoriščanjem openattach. Kot primer Ormandy prikazuje izvajanje običajnega kalkulatorja (calc.exe).

Razvijalci LasPass so očitno že odpravili težavo v razširitvi za Chrome tako, da so onemogočili 1min-ui-prod.service.lastpass.com. Vendar nekateri uporabniki ugotavljajo, da jim strežnik še vedno deluje in je ranljivost še vedno pomembna. Uporabniki LastPass za Chrome bi verjetno morali za zdaj onemogočiti razširitev in počakati na izdajo celotnega popravka, saj je bila različica 4.1.42 z dne 14. marca 2017 še vedno ranljiva.

Omeniti velja, da je prejšnji teden Tavis Ormandy našel še eno zelo podobno napako v dodatku LastPass za Firefox. Ranljivost omogoča tudi ekstrahiranje vseh uporabniških gesel, če ta obišče zlonamerno spletno stran.

Ta težava še ni bila odpravljena. Razvijalci LastPass so že pripravili popravek, vendar popravljeno različico 3.3.2 še vedno pregledujejo Mozillini strokovnjaki. Avtorji LastPass so še poudarili, da veja 3.x še vedno velja za zastarelo, uporabnikom pa priporočajo prehod na varnejšo vejo 4.x.

Toda težave LastPass se tu ne končajo. Danes, 22. marca 2017, je Tavis Ormandy opozoril, da dodatek LastPass za Firefox vsebuje še eno napako, ki vam omogoča krajo gesel drugih ljudi za katero koli domeno. Poleg tega je tokrat bolj moderna in varnejša različica 4.1.35 ranljiva. Strokovnjak obljublja, da bo podrobnosti objavil v bližnji prihodnosti.

Našel sem še eno napako v LastPass 4.1.35 (nepopravljeno), omogoča krajo gesel za katero koli domeno. Celotno poročilo bo kmalu na voljo. pic.twitter.com/9VkV7R3vud

Prvi in ​​najbolj preprosta možnost je standardni upravitelj gesel za Chrome, Firefox, Opera ali Vivaldi. Skoraj vse sodobni brskalniki lahko shranijo in samodejno vnesejo prijave in gesla v zahtevana polja. Da, te možnosti ne moremo imenovati zelo funkcionalno, saj nima nekaterih dodatnih funkcij, kot je generator zanesljivih kombinacij in zaščitenih opomb. Uporabljate pa ga lahko popolnoma brezplačno, med njim pa obstaja sinhronizacija razne naprave, ki deluje seveda le, če povsod uporabljate isti brskalnik.

Preprostost, dostopnost, brezplačno. Sinhronizacija med različnimi napravami.
− Nizka funkcionalnost in varnost.

1 Geslo

1Password obstaja že več kot osem let, vendar ga je LastPass vedno zasenčil zaradi precej visokih stroškov. Lahko shrani gesla, podatke bančne kartice, licence za programsko opremo in druge zaupne informacije na varnem virtualno shranjevanje. Ta shramba se lahko nahaja na oddaljenem strežniku oz lokalno napravo. Možna je sinhronizacija preko Wi-Fi, Apple iCloud ali Dropbox. Posebna pozornost Razvijalci so bili pozorni na varnostne in šifrirne algoritme, zaradi katerih ta storitev ni bila opažena v odmevnih škandalih.

Zanesljivost, večplatformnost, funkcionalnost, sinhronizacija.
− Visoka cena.

KeepPass

Če iščete brezplačno rešitev in se ne bojite težav, potem obvezno preizkusite KeePass. To je popolnoma odprt projekt, ki so ga ustvarili neodvisni razvijalci. Ima ogromno možnosti zahvaljujoč prisotnosti celega arzenala različnih dodatkov, vtičnikov in pomožnih pripomočkov. Vendar se boste v zameno morali sprijazniti s tipičnimi pomanjkljivostmi brezplačnega programsko opremo v obliki visoke kompleksnosti razvoja in nestabilnosti nekaterih elementov.

Podatkovna baza gesel, ustvarjena v KeePass, je shranjena v obliki ene same datoteke, ki jo lahko postavite na trdi disk ali kateri koli drug storitev v oblaku. V slednjem primeru lahko izvedete sinhronizacijo podatkov med različne naprave. Obstajajo vtičniki za priljubljene brskalnike, ki z različnimi stopnjami uspeha omogočajo zamenjavo prijav in gesel na želenih straneh. Poleg tega je KeePass na voljo tudi na mobilnih napravah.

Brezplačno, funkcionalno, varno.
− Rešitev za geeke, ki znajo izbrati in pravilno konfigurirati vse potrebne komponente.

Dashlane

Ta storitev za shranjevanje gesel se je pojavila relativno nedavno, vendar se je že izkazala pozitivna stran. Dashlane ima prijetno videz, dobra funkcionalnost in enostavna uporaba. Baza gesel je shranjena v oblaku v šifrirani obliki, obstaja pa sinhronizacija med odjemalci za različne platforme (Mac, PC, iOS in Android). Med dodatne lastnosti je treba izpostaviti funkcijo avtomatsko polnjenje obrazci, generator gesel, možnost spreminjanja gesel z enim klikom in priročna orodja za spletno nakupovanje. Toda ves ta sijaj vam lahko zbledi, če želite uporabljati sinhronizacijo podatkov med različnimi napravami. Če želite to narediti, boste morali kupiti letno naročnino, ki stane 39,99 $, kar je, vidite, precej veliko.

Videz, zanesljivost, večplatformnost, digitalna denarnica.
− Visoki stroški, pomanjkanje lokalnega shranjevanja gesel.

Katerega upravitelja gesel boste izbrali, če bo LastPass postal plačljiv?

Spoznajte LastPass, enega izmed... najboljši programi za shranjevanje gesel, distribuiran kot en sam namestitveni program za internet Explorer, Google Chrome, Mozilla Firefox, Opera in Apple Safari, ki jih je razvil LastPass. Gesla v LastPass so zaščitena z glavnim geslom, shranjena lokalno in jih je mogoče sinhronizirati s katerim koli drugim brskalnikom. LastPass ima tudi izpolnjevalec obrazcev, ki vam omogoča avtomatsko vnašanje gesel in izpolnjevanje obrazcev. Vtičnik podpira generiranje gesel, skupno rabo podatkov, beleženje prijav na spletno mesto, ustvarjanje varnih zapiskov in še veliko več. Prenesite LastPass možno spodaj.

Eno glavno geslo (moto na spletnem mestu je "Zadnje geslo, ki si ga morate zapomniti!").
Sinhronizacija brskalnika.
Ustvarjanje močnih gesel.
Šifriranje gesla.
Spletni izpolnjevalec obrazcev.
Uvozite in izvozite gesla iz drugih upraviteljev gesel.
Gesla so shranjena v oblačni storitvi lastpass.com v šifrirani obliki (AES-256).
Glavno geslo LastPass je shranjeno v vaši glavi in ​​ko ga vnesete, se vsa gesla dešifrirajo iz podatkovne baze (AES-256).
Gesla se prenašajo prek varne (https) povezave.
LastPass ustvari zgoščeno vrednost vašega uporabniškega imena in gesla, ki je ključ do algoritma AES.
Storitev LastPass za avtorizacijo uporablja dvojni hash, ki se pošlje na strežnik in je verifikacijski ključ za avtorizacijo.
Imena skupin, računi in podatki se prenašajo v šifrirani obliki, https se uporablja povsod.
LastPass zbira gesla, ki jih drugi upravitelji gesel ne vidijo, vključno s številnimi obrazci AJAX, in olajša ustvarjanje močnih gesel.
Podatke boste lahko uvažali in izvažali iz številnih znanih sistemov za shranjevanje gesel (kot so: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox in Internet Explorer ter mnogi drugi). Gesla v LastPass so zaščitena z glavnim geslom in shranjena lokalno ter jih je mogoče sinhronizirati s katerim koli drugim brskalnikom.
LastPass uporablja močno kriptografijo na strani odjemalca - gesla zapustijo računalnik že šifrirana in samo uporabnik jih lahko dešifrira. In tudi če nekdo dobi te podatke, so šifrirani podatki v bistvu neuporabni.
Najbolj mi je všeč, da so vsi podatki shranjeni v računalniku in varni storitvi, občasno sinhronizirani, dostop pa je omogočen iz katerega koli računalnika, kjer je nameščen LastPass. Poleg tega ima zelo priročno funkcijo za ustvarjanje zaščitenih zapiskov in druge enako uporabne funkcije.

Skoraj vse. Program naredi vse sam. Ponudil vam bo, da shranite prijavo in geslo, ju vnesete v polja, ko naslednjič obiščete stran, ali se celo prijavite vanjo (če želite). Hkrati ustvari gesla, ki si jih sploh ni treba zapomniti in bodo za vsak vir drugačna. To močno poveča varnost zaščitenega dostopa.
Če želite, so lahko vaše skrivnosti vedno z vami, ne glede na to, kje delate in ne glede na to, kateri računalnik uporabljate. Če želite to narediti, lahko uporabite lokalno različico (LastPass Pocket) za bliskovni pogon (za to je priporočljivo, da najprej izvozite svoje podatke iz računa LastPass v datoteko na disku, da jo lahko nato odprete s prenosnim različico kjer koli, brez namestitve glavnega programa). Vse deluje brez kakršnih koli omejitev glede količine shranjenih podatkov, časa uporabe, brezplačno in v ruskem jeziku. Čeprav obstaja plačljiva različica, z nekoliko bolj naprednimi funkcijami, o njej ne govorimo.
Postopek namestitve programa in registracije računa LastPass je precej preprost, le strinjati se morate s privzetimi nastavitvami in namestitveni program bo ponudil onemogočanje upraviteljev gesel v nameščeni brskalniki zaradi njihove nezanesljivosti. Ustvarjanje glavnega gesla je prav tako zelo preprosto (tukaj boste imeli možnosti in prikazano, kako odporno je vaše glavno geslo na vdore). Priporočamo tudi, da občasno spremenite glavno geslo, da preprečite nepooblaščen dostop do vašega računa LastPass. Sama storitev LastPass nima dostopa do vaših zaupnih podatkov, na kar iskreno opozarjajo. To pomeni, da če pozabite ali izgubite glavno geslo, vam bo poslan samo poziv za obnovitev gesla (in ne vaših gesel, prijav itd.) ali pa boste morali uporabiti obnovitev računa.
Po mojem mnenju je velika prednost LastPass ta, da če že imate obstoječi račun LastPass (in seveda naučeno glavno geslo za prijavo v svoj račun), se nimate prav nič bati, da bi "padli" ali ponovno namestili sistem, morate samo znova namestiti LastPass in se prijaviti v svoj račun, potem bo program deloval za vas. Samoumevno je, da bodo vsa vaša gesla, spletna mesta, forumi, varne beležke, na splošno vse, kar ste shranili, obnovljeno na novem računalniku. Razvijalci ne spijo, nenehno posodabljajo LastPass, ga krepijo (in vašo varnost) in izboljšujejo program ter posodabljajo v brskalnikih LastPass razširitve vstopi ozadje brez vmešavanja v delo.
To je opis zmožnosti LastPass, ki še zdaleč ni popoln, upam, da vam je program všeč. Na koncu ugotavljam, da sem se, ko sem preizkusil veliko upraviteljev gesel, plačljivih in brezplačnih, že zdavnaj odločil za LastPass zaradi njegove preprostosti in zanesljivosti. Program se pogosto posodablja, tako na uradni spletni strani kot v storitvah Googlove razširitve, Firefox, Opera in Safari, na voljo je podrobna spletna pomoč in videoposnetki o nastavitvi in ​​uporabi programa.

Razvijalec: Joe Siegrist
Licenca: FreeWare
Jezik: več + ruski
Velikost: 59 MB
OS: Windows
Prenesi:

O prihajajočih pomembnih spremembah v sistemu Dodatki za Firefox. Da bi zagotovili združljivost med brskalniki, so razvijalci Firefoxa in drugih brskalnikov sprejeli skupni API, imenovan WebExtensions. Podpora skupnemu API-ju bo pomagala zmanjšati stroške razvoja na več platformah za podjetja, kot je naše, ki morajo proizvajati in podpirati razširitve za več brskalnikov. Medtem ko selitev na WebExtensions ponuja številne prednosti za razvijalce, brskalnike in uporabnike, želimo uporabnike LastPass pripraviti na prehod s prejšnjega dodatka Firefox na novega.

Že več kot leto dni podpiramo dve različici LastPass za Firefox. Stabilna različica 3.x objavljeno v trgovini Razširitve za Firefox, in različica 4.x v razvoju je bila objavljena na spletni strani LastPass.com.

Čeprav je to povzročilo nekaj zmede za uporabnike LastPass, smo ohranili "podedovano" različico, da bi ohranili uporabniško izkušnjo, podobno Firefoxu, ki je bila našim uporabnikom ljubša. Medtem smo nadaljevali z razvojem različice 4.x v skladu s spremembami, ki jih izvaja Mozilla. Toda z nedavno novico, da bo Mozilla v celoti prešla na WebExtensions do konca leta 2017, se moramo posloviti od LastPass različice 3.x za Firefox.

Najnovejšo različico dodatka bomo izdali 31. marca 2017. Najnovejša različica dodatka bo predvidoma uvedena za vse uporabnike različice 3.3.2 v nekaj dneh po pregledu s strani Mozille. Dodatek za Firefox lahko ročno posodobite zdaj ali počakate samodejno posodabljanje aprila. Po tem bo na addons.mozilla.org in LastPass.com na voljo samo različica 4.x. Za uporabnike dodatkov za Firefox različice 3.x ta posodobitev prinaša vse najnovejše izboljšave, ki smo jih naredili v osnovni logiki in zmogljivosti LastPass, kot tudi najnovejši vmesnik uporabnik. Na podlagi povratnih informacij uporabnikov priporočamo tudi ogled pogledov ploščic in seznamov v vmesniku 4.x, da vidite, kateri pogled je najboljši za vas.

Vmesnik LastPass 3.x

Vmesnik LastPass 4.x

Poleg izvajanja sprememb, ki jih je naredila Mozilla, verjamemo, da je nova različica našega dodatka za Firefox na splošno veliko lažja za uporabo. Vemo, da spremembe niso vedno prijetne. Poslušamo vaše povratne informacije in izvajamo premišljene in informirane spremembe, medtem ko poenotimo izkušnjo LastPass v vseh brskalnikih in platformah.

Seveda prehod na nova različica Dodatki ne bodo vplivali na vaš račun LastPass ali katere koli podatke v vaši shrambi. Še vedno boste imeli popoln dostop do svojega račun kadarkoli iz katerega koli brskalnika in iz katere koli naprave.

Kot vedno se lahko obrnete na našo skupino za podporo, če imate kakršna koli vprašanja ali skrbi glede tega prehoda.

Dolgo časa sem uporabljal program Roboform za shranjevanje gesel za strani in izpolnjevanje spletnih obrazcev za registracijo na različnih straneh (z vsem sem bil zadovoljen, le da je bil plačan).

Toda nekako sem se naveličal nenehnega ponovnega nameščanja operacijski sistem, najprej shranite mapo navedeni program, ki je odgovoren za shranjevanje informacij s prijavami in gesli za moja spletna mesta.

Nato po ponovni namestitvi znova poiščite novo različico in izvedite manipulacije z zamenjavo datotek in map. In potem se je zgodilo nepričakovano: po okvari operacijskega sistema sem izgubil dostop do vseh podatkov.

Specialist za obnovitev podatkov s trdi disk Ne štejem se za sebe, zato nisem ničesar obnovil, ampak sem si zadal 2 nalogi: 1 - najti brezplačen in zanesljiv upravitelj gesel; 2- imejte dostop do vseh svojih gesel in prijav s katerega koli mesta, kjer je internetna povezava.

Med iskanjem alternativnega upravitelja gesel sem našel dodatek za brskalnike (Firefox, Google Chrome, Opera) z imenom Geslo LastPass Vodja z vsemi funkcijami, ki jih potrebujem (pomnjenje prijav in gesel, izpolnjevanje spletnih obrazcev, generator gesel) in mi za te funkcije ni treba plačati.

Poleg tega so podatki shranjeni v šifrirani obliki, do katere imate dostop samo vi. Dodatek je pokazal odlično delovanje že več kot šest mesecev. Izvedimo namestitev na primeru spletnega brskalnika Firefox.

Po namestitvi znova zaženite brskalnik s klikom na povezavo »Znova zaženi zdaj«.

Brskalnik se ponovno zažene in pojavi se okno z začetkom nastavitvenega postopka LastPass, kjer moramo najprej izbrati jezik in klikniti gumb “Ustvari račun”.

V naslednje okno vnesite veljaven naslov E-naslov, najpomembnejše glavno geslo (morate si ga zapomniti ali si ga nekam zapisati, če trpimo za pozabljivostjo. Potrebovali ga bomo za dostop do vseh naših gesel in nadzorne plošče upravitelja.

Ustvarimo opomnik za geslo (neobvezno) in potrdite polje »Prebral sem in se strinjam s pogoji uporabe«. Nato potrdite polje »Razumem, da bodo moji šifrirani podatki poslani v LastPass.« Izberite preostale elemente po želji in kliknite »Ustvari račun«.

Zelo beremo pomembna informacija, znova vnesite svoje glavno glavno geslo in kliknite »Ustvari račun«.

Uvozimo ali ne (neobvezno) naše prijave in gesla iz drugih shramb zaupnih podatkov v računalniku in kliknemo na gumb »Nadaljuj«.

Takoj lahko nastavite podatke za izpolnjevanje spletnih obrazcev.

Vklopljeno zadnji korak Sprejemamo. Čestitamo za uspešno namestitev in kliknemo na gumb »Nadaljuj«.

UPRAVITELJ GESEL

Samodejno smo preusmerjeni v spletno shrambo vašega računa.

Gumb z blagovno znamko upravitelja s funkcijami, ki jih potrebujemo, se prikaže v desnem kotu brskalnika.

Da bo uporaba upravitelja gesel čim bolj priročna, priporočam, da odprete nastavitve in počistite potrditveno polje »Uporabi kompaktno orodno vrstico«.

Nad celotno vrstico v brskalniku bomo imeli priročno nadzorno ploščo. Zdaj, ko vnesete svoje uporabniško ime in geslo na kateri koli spletni strani, vas bo LastPass pozval, da shranite podatke.

Zdaj lahko dostopate do katerega koli spletnega mesta, ki ga želite, s spustnim seznamom imen spletnih mest zgornja plošča upravni nadzor.

Priročna funkcija je uvoz vseh prijav in gesel iz različnih priljubljenih upraviteljev.

Omeniti velja zelo prilagodljiv generator gesel.

Zdaj, po ponovni namestitvi operacijskega sistema, pa naj gre za Windows ali Linux, morate le še namestiti dodatek LastPass Password Manager in vsi vaši zaupni podatki so spet pri vas.

Na koncu bom rekel, da v Googlov brskalnik Chrome, njegova različica iz nekega razloga ima manj nastavitev (zlasti nisem našel, kako onemogočiti kompaktno orodno vrstico za prikaz upravitelja v celotni vrstici brskalnika). Omenil bom tudi, da ta upravitelj gesel ni bil testiran v Opere.