הגיע הזמן להתוודות: LastPass כבר לא אותו דבר. הנה למה כדאי לעבור לכספת סיסמאות אחרת
Miscellanea / / April 09, 2023
האם ראית את החדשות שהאקרים פרצו ל-LastPass וקיבלו סיסמאות של משתמשים? זה רק קצה הקרחון.
Lifehacker הוא המקום שבו אתה תמיד יכול לקבל עצות שימושיות. על בריאות, ספורט, עבודה, טכנולוגיה - אנחנו כותבים על הרבה ולעתים קרובות נותנים המלצות. עם זאת, לא כולם עומדים במבחן הזמן. אפילו השירותים המגניבים והמושלמים ביותר "דוהים", גאדג'טים מפסיקים לרצות, ופריצות חיים פופולריות פשוט מאבדות את הרלוונטיות שלהן.
על כל מה שבסופו של דבר איכזב אותנו נדבר בסדרת כתבות חדשה. והגיבור הראשון שלנו הוא מנהל הסיסמאות של LastPass, שהגיע זמן רב.
פעם, LastPass היה ממש טוב
LastPass הוא שירות עם היסטוריה ארוכה. הגרסה הראשונה שלו שוחררה עוד ב-2008. ושנה לאחר מכן הוא הפך לאחד המובילים בגזרתו. הוא נקרא פעמים רבות פתרון אחסון הסיסמאות הטוב ביותר - הנוח, הפונקציונלי והאמין ביותר. ובמשך הרבה זמן זה היה.
Lifehacker המליץ שוב ושוב על LastPass לקוראיו. אחרי הכל, השירות הוא באמת אוניברסלי, עם הרחבות לכל הדפדפנים והיישומים הניידים הפופולריים. כל הסיסמאות בו מוצפנות, מאוחסנות ב"ענן" וניתנות לסנכרון בין מכשירים.
והכי חשוב, LastPass היה מהיר והציע את כל מה שאתה יכול להזדקק לו, כולל מחולל סיסמאות מורכב,
אימות דו-שלבי ומילוי טפסים כך שלא תצטרך להקליד שום דבר ביד. ועבור סוג אחד של מכשיר, השירות היה בחינם. ובכן, זה מגניב?הבעיות התחילו מזמן. וזה כדור שלג שלם
בטח ראית את החדשות של LastPass פרוץ וההאקרים הצליחו לקבל כספות מוצפנות של הסיסמאות של לקוחותיו. אלו הם אירועי השנה האחרונה, אשר, כך נראה, הכתימו מאוד את המוניטין של השירות. אבל אם אתה מסתכל על הבעיה באופן גלובלי יותר, אז זה רחוק מלהיות המכה הראשונה של LastPass.
בעיות שירות החלו ב-2011. אחר כך המפתחים גילה אנומליה בתעבורת הרשת הנכנסת, ולאחר מכן חריגה דומה ביציאה. המנהלים לא מצאו סימנים לפריצת אבטחה, אך הם גם לא הצליחו לקבוע את הסיבה להעברת הנתונים הלוך ושוב.
החברה לא הכירה בהפסדים רשמיים, אבל עבור השירות להגנה על נתונים יקרי ערך, השיחה הייתה יותר ממדאיגה.
כדי לשחק בטוח, LastPass דרש אז ממשתמשים מסוימים לשנות את סיסמאות האב שלהם. ומנכ"ל החברה נאלץ לתרץ תירוצים ל"בהלה מוגזמת".
זה היה רק האות הראשון, ואחריו הגיעו אחרים - עם פגיעה משמעותית יותר במוניטין של השירות. אז, אירוע חשוד נוסף התרחש בשנת 2015. פעילות מוזרה נוספת ברשת החברה הביאה לדליפת כתובות אימייל, רמזים לסיסמאות משתמש וכמה נתונים גיבובים. מפתחים מְאוּשָׁר עובדת הפריצה, אבל הבטיחו שהמידע המוצפן נשאר תחת מנעול ומפתח.
יתר על כן. בשנת 2016, פגיעות ב-LastPass שאפשרה גישה לנתונים לא מוצפנים הייתה גילה משרד עצמאי עבור אבטחה מקוונת לזהות. וב-2017 ו-2019, האקר הלבן Tavis Ormandy מצא כמה חורים בתוסף השירות עבור Chrome. אחת הפגיעות מוּתָר תוקפים כדי לקבל את שם המשתמש והסיסמה.
עקב אכילס נוסף הקשור לאחסון סיסמת המאסטר בקובץ מקומי היה גילה בשנת 2020. ובשנת 2021, מומחים מצאתי עוקבים של צד שלישי באפליקציית LastPass Android. אז הגענו לשנת 2022, כשהייתה סדרה שלמה של תקריות. אחד יותר גרוע מהשני:
- פורץ ראשון קיבלו גישה בלתי מורשית לחלקים מסביבת הפיתוח של LastPass, קוד מקור ומידע טכני.
- ואז האיש הזה הצליח גַרזֶן המחשב של המהנדס הבכיר והשיג את סיסמת האב שלו.
- ואז האקר חדרה לכספת הארגונית המשמשת את המהנדסים הראשיים. היו עותקי גיבוי של קבצי לקוח.
- ובכן, כמו דובדבן על העוגה - קבלה גישה למסד הנתונים של המשתמשים מתאריך 14 באוגוסט 2022, כמו גם מספר גיבויים של כספת הסיסמאות.
לאחר המתקפה העוצמתית הזו, LastPass טענה שרוב הלקוחות שלה לא היו צריכים לעשות שום פעולה. אבל מומחים עצמאיים מוּמלָץ לכל משתמשי השירות לשנות את הסיסמאות שלהם ולהיות ערניים במיוחד מפני אפשריים דיוג התקפות.
כל זה הוביל לזרימה של לקוחות שבמשך זמן רב לא העזו לעבור למחסנים אחרים, בתקווה לאבטחת הנתונים שלהם בין כותלי LastPass. במקביל, האחרון מאיתנו סירב לשירות.
אם אתה עדיין ב-LastPass, אז זה הזמן לרוץ
הגן על עצמך ועל הנתונים שלך - שנה את מנהל הסיסמאות שלך. מעבר מ-LastPass לשירות חלופי - שלהם לא מעט. אם אתה רוצה משהו פונקציונלי ועוצמתי, יש 1Password, Bitwarden או NordPass. אם אתה רוצה משהו יותר צנוע, שמושך הרבה פחות תשומת לב מהתוקפים, תסתכל מקרוב על Enpass, Dashlane או Keeper.
צוות העריכה של Lifehacker משתמש בעיקר ב-Bitwarden וב-1Password עבור סיסמאות אישיות. לשירותים אלו יש את כל התכונות הדרושות, ובאפשרות הראשונה אין צורך לשלם עבורם. 1Password אמין יותר, אבל זה עולה כסף.
במה אתה משתמש לאחסון סיסמאות ולמה? ספרו בתגובות.
קרא גם🧐
- 6 סיבות לא לשמור סיסמאות בדפדפן
- דו"ח NordPass מגלה שמנהלים רבים משתמשים בסיסמאות פשוטות עד כדי גיחוך
- כיצד לשים סיסמה ב-Windows, להסיר אותה ולאפס אותה אם פתאום תשכח