Найти тему
ITShaman

LastPass начал шифровать URL-адреса для большей безопасности

Компания LastPass объявила о начале шифрования URL-адресов, хранящихся в пользовательских хранилищах, для повышения уровня конфиденциальности и защиты от утечки данных и несанкционированного доступа.

Производитель популярного менеджера паролей также отмечает, что эта новая функция безопасности является важным шагом на пути к укреплению своей приверженности к внедрению архитектуры нулевого знания в продукт, так что это не просто защита данных от внешних угроз.

Значение зашифрованных URL-адресов

Когда пользователь посещает веб-сайт, LastPass сравнивает URL с записью в хранилище паролей пользователя, чтобы определить, сохранились ли у него учетные данные, а затем предлагает ввести их автоматически.

LastPass утверждает, что в связи с ограничением вычислительных мощностей в 2008 году, когда создавалась эта система, инженеры решили оставить URL-адреса незашифрованными, что позволило снизить нагрузку на процессоры и минимизировать энергопотребление программы.

Теперь, когда большинство аппаратных ограничений производительности прошлого сняты, LastPass может начать шифровать/дешифровать эти URL на лету, не замечая никаких сбоев в работе браузера и обеспечивая максимальную безопасность данных.

LastPass утверждает, что это сделано для повышения безопасности пользователей.

«URL-адреса могут содержать информацию о характере учетных записей, связанных с вашими учетными данными (например, банковские, электронные, социальные сети)»
-
поясняет Lastpass

Система безопасности LastPass с нулевым знанием основана на том, что все данные клиентов должны быть зашифрованы и, таким образом, недоступны для LastPass и хакеров, которые могут взломать ее сервис.

В 2022 году LastPass пережила два взлома, в результате которых злоумышленники смогли похитить исходный код, данные клиентов и резервные копии, включая зашифрованные хранилища паролей.

Генеральный директор LastPass Карим Тубба тогда заявил, что мастер-пароль, необходимый для расшифровки хранилищ, знают только клиенты. Однако похищенные данные включали зашифрованные мастер-пароли, которые, как предупреждала LastPass, могут быть расшифрованы, если они слабые.

Похищенные данные также включали незашифрованные URL-адреса, связанные с вводом паролей, что позволило получить ценную информацию о том, какие хранилища паролей могут быть использованы для кражи учетных данных финансовых сервисов, например, криптовалютных бирж.

Позже выяснилось, что злоумышленники расшифровали некоторые из этих слабых мастер-паролей и использовали сохраненные учетные данные для взлома криптовалютных бирж и кражи средств на сумму более 4 миллионов долларов.

Внедрение шифрования

LastPass утверждает, что шифрование URL-адресов требует рефакторинга функциональности клиентских и внутренних компонентов, и эта работа уже идет полным ходом.

Первый этап внедрения шифрования URL будет реализован в следующем месяце (июнь 2024 года), автоматически зашифровав первичные поля URL для всех существующих и новых учетных записей.

На этом этапе дублирующие и устаревшие поля URL в хранилище будут удалены, а персональные и бизнес-аккаунты получат электронные письма с информацией об изменениях.

Второй этап наступит во второй половине года, когда остальные шесть полей URL, хранящиеся в хранилищах LastPass, также будут автоматически зашифрованы.

Эти шесть значений касаются эквивалентных доменных URL, URL с подстановочными знаками, URL с перенаправлением, пользовательских URL, URL, хранящихся в заметках пользователя, и исторических URL.

В настоящее время пользователям не нужно предпринимать никаких действий, но LastPass отправит по электронной почте пошаговые инструкции о том, как они могут воспользоваться преимуществами, когда развертывание начнется в следующем месяце.

Подробнее