Компания LastPass объявила о начале шифрования URL-адресов, хранящихся в пользовательских хранилищах, для повышения уровня конфиденциальности и защиты от утечки данных и несанкционированного доступа.
Производитель популярного менеджера паролей также отмечает, что эта новая функция безопасности является важным шагом на пути к укреплению своей приверженности к внедрению архитектуры нулевого знания в продукт, так что это не просто защита данных от внешних угроз.
Значение зашифрованных URL-адресов
Когда пользователь посещает веб-сайт, LastPass сравнивает URL с записью в хранилище паролей пользователя, чтобы определить, сохранились ли у него учетные данные, а затем предлагает ввести их автоматически.
LastPass утверждает, что в связи с ограничением вычислительных мощностей в 2008 году, когда создавалась эта система, инженеры решили оставить URL-адреса незашифрованными, что позволило снизить нагрузку на процессоры и минимизировать энергопотребление программы.
Теперь, когда большинство аппаратных ограничений производительности прошлого сняты, LastPass может начать шифровать/дешифровать эти URL на лету, не замечая никаких сбоев в работе браузера и обеспечивая максимальную безопасность данных.
LastPass утверждает, что это сделано для повышения безопасности пользователей.
«URL-адреса могут содержать информацию о характере учетных записей, связанных с вашими учетными данными (например, банковские, электронные, социальные сети)»
- поясняет Lastpass
Система безопасности LastPass с нулевым знанием основана на том, что все данные клиентов должны быть зашифрованы и, таким образом, недоступны для LastPass и хакеров, которые могут взломать ее сервис.
В 2022 году LastPass пережила два взлома, в результате которых злоумышленники смогли похитить исходный код, данные клиентов и резервные копии, включая зашифрованные хранилища паролей.
Генеральный директор LastPass Карим Тубба тогда заявил, что мастер-пароль, необходимый для расшифровки хранилищ, знают только клиенты. Однако похищенные данные включали зашифрованные мастер-пароли, которые, как предупреждала LastPass, могут быть расшифрованы, если они слабые.
Похищенные данные также включали незашифрованные URL-адреса, связанные с вводом паролей, что позволило получить ценную информацию о том, какие хранилища паролей могут быть использованы для кражи учетных данных финансовых сервисов, например, криптовалютных бирж.
Позже выяснилось, что злоумышленники расшифровали некоторые из этих слабых мастер-паролей и использовали сохраненные учетные данные для взлома криптовалютных бирж и кражи средств на сумму более 4 миллионов долларов.
Внедрение шифрования
LastPass утверждает, что шифрование URL-адресов требует рефакторинга функциональности клиентских и внутренних компонентов, и эта работа уже идет полным ходом.
Первый этап внедрения шифрования URL будет реализован в следующем месяце (июнь 2024 года), автоматически зашифровав первичные поля URL для всех существующих и новых учетных записей.
На этом этапе дублирующие и устаревшие поля URL в хранилище будут удалены, а персональные и бизнес-аккаунты получат электронные письма с информацией об изменениях.
Второй этап наступит во второй половине года, когда остальные шесть полей URL, хранящиеся в хранилищах LastPass, также будут автоматически зашифрованы.
Эти шесть значений касаются эквивалентных доменных URL, URL с подстановочными знаками, URL с перенаправлением, пользовательских URL, URL, хранящихся в заметках пользователя, и исторических URL.
В настоящее время пользователям не нужно предпринимать никаких действий, но LastPass отправит по электронной почте пошаговые инструкции о том, как они могут воспользоваться преимуществами, когда развертывание начнется в следующем месяце.