LastPass — был один из самых популярных и удобных менеджеров паролей на рынке такого ПО. Он позволял хранить и синхронизировать пароли от различных сайтов и приложений на разных устройствах. Но как оказалось, он не так безопасен, как утверждали его разработчики. А точнее, совсем небезопасен...
Предыстория
В феврале 2023 года компания LastPass опубликовала окончательные результаты своего собственного расследования двух инцидентов с нарушением безопасности, которые произошли в прошлом году. И то, что компания озвучила, выглядит гораздо серьезнее, чем предполагалось ранее.
Пароли клиентов в руках злодеев
Если ранее в LastPass всячески пытались успокоить пользователей, сначала утверждая, что данные клиентов «не украли», а после, когда злоумышленники выложили в Сеть скачанные файлы, сказали, что «украли, но причитать пароли не смогут»...
По словам компании, злоумышленники проникли в домашний компьютер одного из инженеров DevOps LastPass с помощью уязвимости в стороннем ПО. Они установили на компьютер жертвы кейлоггер, который и позволил им перехватить мастер-пароль для доступа к корпоративному хранилищу LastPass. После этого злоумышленники экспортировали все записи и общие папки из хранилища, содержащие ключи расшифровки для облачных хранилищ Amazon S3 с резервными копиями данных клиентов.
Что было в папках?
Это расследование LastPass дает нам более ясное представление о том, как связаны два инцидента с нарушением безопасности, с которыми компании прошлось столкнуться в прошлом году.
Если вы помните, LastPass сообщил в августе 2022 года, что «неавторизованная сторона» получила доступ к его системе. Хотя первый инцидент закончился 12 августа, компания заявила в своем новом объявлении, что злоумышленники «активно занимались новой серией действий по разведке, перечислению и извлечению данных из облачной среды с 12 августа 2022 года по 26 октября 2022 года».
Когда компания объявила о втором нарушении безопасности в декабре 2022 года, она признала, что хакеры похитили массу конфиденциальной информации, включая ее хранилища Amazon S3. Чтобы получить доступ к данным, сохраненным в этих хранилищах, хакерам нужны были ключи расшифровки, сохраненные в «очень ограниченном наборе общих папок в менеджере паролей LastPass».
Вот почему злоумышленники нацелились на одного из четырех инженеров DevOps, которые имели доступ к ключам, необходимым для разблокировки облачного хранилища компании.
Получив доступ к облаку, злоумышленники получили «секреты API, секреты интеграции с третьими сторонами, метаданные клиентов и резервные копии всех данных хранилища клиентов».
LastPass всё исправила?
LastPass по-прежнему настаивает на том, что все конфиденциальные данные хранилища клиентов за исключением некоторых исключений «можно расшифровать только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя», добавив, что она не хранит мастер-пароли пользователей.
LastPass также подробно описала шаги, которые она предприняла для усиления своей защиты в будущем, включая пересмотр своего обнаружения угроз и «выделение нескольких миллионов долларов для увеличения инвестиций в безопасность по всем направлениям: людям, процессам и технологиям».
Но достаточно ли нам всех этих заявлений, чтобы поверить LastPass? Или всё-таки пользователи должны найти себе другой менеджер паролей?
Почему вы должны использовать другой менеджер паролей
Менеджер паролей — это инструмент, который помогает вам создавать, хранить и использовать сложные и уникальные пароли для разных сайтов и приложений. Это повышает вашу безопасность в интернете, поскольку вы не используете один и тот же легко угадываемый пароль повсюду. Также это упрощает вашу жизнь, поскольку вы не должны запоминать или записывать все свои пароли.
Однако не все менеджеры паролей одинаково безопасны. Некоторые из них хранят ваши данные на своих серверах или облачных хранилищах, что делает их уязвимыми для атак хакеров (см. предысторию с LastPass). Другие используют слабые методы шифрования или не проверяют подлинность пользователей достаточно хорошо.
LastPass — один из таких менеджеров паролей. Он хранит все ваши данные на своих серверах Amazon S3. На тех, которые и были скомпрометированы злоумышленниками. Он также использует мастер-пароль как основной способ проверки подлинности пользователя. Это означает, что если кто-то получит ваш мастер-пароль (как это случилось с инженером LastPass), он сможет получить доступ ко всем вашим данным.
Если вы заботитесь о своей безопасности и конфиденциальности в интернете, вы должны использовать другой менеджер паролей. Желательно такой, который:
- Не хранит ваши данные на сторонних серверах или облачных хранилищах
- Использует сильное шифрование с локальным ключом
- Предлагает дополнительные методы проверки подлинности помимо мастер-пароля
- Имеет открытый исходный код и поддерживается сообществом
Какие альтернативы LastPass существуют
Я перешёл с LastPass на другой МП задолго до инцидентов с потерей данных клиентов. И настоятельно вам рекомендую сделать то же самое. Благо перевод парольной базы с одного приложения в другое не составляет особого труда.
Если вы ищете менеджер паролей, который соответствует критериям, приведённым выше, вот несколько вариантов:
🗝️ Bitwarden — бесплатный и открытый менеджер паролей, который позволяет вам хранить ваши данные локально или на сервере*. Он также поддерживает двухфакторную аутентификацию и имеет расширения для разных браузеров и приложения для разных платформ.
————————————
*Кстати, создать собственный безопасный сервер с хранилищем Bitwarden не так и сложно. Для такого «хранилища» вполне подойдёт «малинка». Если читателей заинтересует, могу подготовить статью по созданию сервера с Bitwarden на Raspberry Pi. Напишите в комментариях.
🗝️ KeePass — еще один бесплатный менеджер паролей с открытым исходным кодом, который хранит ваши данные в зашифрованном файле на вашем компьютере. Вы можете синхронизировать его с другими устройствами с помощью облачных сервисов или USB-накопителей. Он также имеет множество плагинов для расширения его функциональности.
🗝️ LessPass: это уникальный менеджер паролей, который не хранит ваши данные вообще. Он генерирует пароли на основе сайта, логина и мастер-пароля, которые вы вводите каждый раз. Это означает, что вы не должны беспокоиться о потере или краже ваших данных.
Заключение
LastPass — это удобный и популярный менеджер паролей, но он не безопасен. Его система была скомпрометирована дважды за последний год злоумышленниками, которые получили доступ к конфиденциальным данным клиентов.
Да собственно, любой менеджер, который использует для хранения облачные технологии — это касается, кстати, и встроенные в браузеры парольные утилиты — подвержены ровно такой же опасности.
Если вы хотите защитить свои пароли от хакеров, вы должны использовать менеджер паролей, который
- не хранит ваши данные на сторонних серверах или облачных хранилищах
- использует сильное шифрование с локальным ключом
- предлагает дополнительные методы проверки подлинности помимо мастер-пароля
- имеет открытый исходный код и поддерживается сообществом.
Три альтернативных утилиты — Bitwarden, KeePass и LessPass — вполне соответствуют всем требованиям безопасности и надёжности. Вы можете выбрать любой из них в зависимости от вашего уровня технических навыков и предпочтений.
