È ora di confessare: LastPass non è più lo stesso. Ecco perché dovresti passare a un archivio password diverso
Miscellanea / / April 09, 2023
Hai visto la notizia che gli hacker hanno fatto irruzione in LastPass e hanno ottenuto le password degli utenti? Questa è solo la punta dell'iceberg.
Lifehacker è il posto dove puoi sempre ottenere consigli utili. Di salute, sport, lavoro, tecnologia: scriviamo molto e spesso diamo consigli. Tuttavia, non tutti resistono alla prova del tempo. Anche i servizi più interessanti e perfetti "svaniscono", i gadget smettono di piacere e gli hack di vita popolari perdono semplicemente la loro rilevanza.
Parleremo di tutto ciò che alla fine ci ha deluso in una nuova serie di articoli. E il nostro primo eroe è il gestore di password LastPass, che è atteso da tempo.
C'era una volta, LastPass era davvero buono
LastPass è un servizio con una lunga storia. La sua prima versione è stata rilasciata nel 2008. E un anno dopo è diventato uno dei leader nel suo segmento. Molte volte è stata definita la migliore soluzione di archiviazione delle password: la più comoda, funzionale e affidabile. E per molto tempo lo è stato.
Lifehacker ha ripetutamente raccomandato LastPass ai suoi lettori. Dopotutto, il servizio è davvero universale, con estensioni per tutti i browser e le applicazioni mobili più diffusi. Tutte le password in esso contenute sono crittografate, archiviate nel "cloud" e possono essere sincronizzate tra i dispositivi.
Soprattutto, LastPass è stato veloce e ha offerto tutto ciò di cui potresti aver bisogno, incluso un complesso generatore di password, autenticazione a due livelli e un modulo di riempimento in modo da non dover digitare nulla a mano. E per un tipo di dispositivo, il servizio era gratuito. Bene, è bello?
I problemi sono iniziati molto tempo fa. Ed è un'intera palla di neve
Sicuramente hai visto la notizia che LastPass violato e gli hacker ci sono riusciti Ottenere depositi crittografati delle password dei suoi clienti. Questi sono gli eventi dell'ultimo anno, che, a quanto pare, hanno offuscato notevolmente la reputazione del servizio. Ma se guardi al problema in modo più globale, questo è ben lungi dall'essere il primo colpo a LastPass.
I problemi di servizio sono iniziati nel 2011. Poi gli sviluppatori scoperto un'anomalia nel traffico di rete in entrata e quindi un'anomalia simile in uscita. Gli amministratori non hanno trovato segni di una violazione della sicurezza, ma non sono stati nemmeno in grado di determinare la causa dello spostamento dei dati avanti e indietro.
La società non ha riconosciuto alcuna perdita ufficiale, ma per il servizio di protezione dei dati estremamente preziosi, la chiamata è stata più che allarmante.
Per andare sul sicuro, LastPass ha quindi richiesto ad alcuni utenti di cambiare le loro password principali. E l'amministratore delegato dell'azienda ha dovuto trovare scuse per "l'eccessivo panico".
Questo è stato solo il primo segnale, seguito da altri - con danni più significativi alla reputazione del servizio. Quindi, un altro incidente sospetto si è verificato nel 2015. Un'altra strana attività sulla rete dell'azienda ha portato a una fuga di indirizzi E-mail, suggerimenti per le password degli utenti e alcuni dati con hash. Sviluppatori confermato il fatto dell'hacking, ma ha assicurato che le informazioni crittografate rimanessero sotto chiave.
Inoltre. Nel 2016 è stata rilevata una vulnerabilità in LastPass che consentiva l'accesso a dati non crittografati scoperto ditta indipendente per sicurezza in linea Rileva. E nel 2017 e nel 2019, l'hacker bianco Tavis Ormandy ha trovato diversi buchi nell'estensione del servizio per Chrome. Una delle vulnerabilità consentito aggressori per ottenere il nome utente e la password.
Un altro tallone d'Achille associato alla memorizzazione della password principale in un file locale era scoperto nel 2020. E nel 2021, esperti trovato tracker di terze parti nell'app Android LastPass. Quindi siamo arrivati al 2022, quando c'è stata tutta una serie di incidenti. Uno è peggio dell'altro:
- Intruso prima ricevuto accesso non autorizzato a parti dell'ambiente di sviluppo LastPass, codice sorgente e informazioni tecniche.
- Poi quest'uomo è riuscito hackerare computer dell'ingegnere senior e ha ottenuto la sua password principale.
- Poi un hacker penetrato al caveau aziendale utilizzato dagli ingegneri capo. C'erano copie di backup dei file del cliente.
- Bene, come una ciliegina sulla torta - ricezione accesso al database degli utenti datato 14 agosto 2022, nonché diversi backup del deposito password.
Dopo questo potente attacco, LastPass ha affermato che la maggior parte dei suoi clienti non aveva bisogno di intraprendere alcuna azione. Ma esperti indipendenti consigliato tutti gli utenti del servizio di modificare le proprie password e prestare particolare attenzione a possibili phishing attacchi.
Tutto ciò ha portato a un deflusso di clienti che per molto tempo non hanno osato passare ad altri archivi, sperando nella sicurezza dei propri dati all'interno delle mura di LastPass. Allo stesso tempo, l'ultimo di noi ha rifiutato il servizio.
Se sei ancora su LastPass, allora è il momento di correre
Proteggi te stesso e i tuoi dati - cambia il tuo gestore di password. Passa da LastPass a un servizio alternativo: il loro parecchi. Se vuoi qualcosa di altrettanto funzionale e potente, ci sono 1Password, Bitwarden o NordPass. Se vuoi qualcosa di più modesto, che attiri molto meno l'attenzione degli aggressori, dai un'occhiata più da vicino a Enpass, Dashlane o Keeper.
La redazione di Lifehacker utilizza principalmente Bitwarden e 1Password per le password personali. Questi servizi hanno tutte le funzionalità necessarie e, nella prima opzione, non è necessario pagarli. 1Password è più affidabile, ma costa denaro.
Cosa usi per memorizzare le password e perché? Dillo nei commenti.
Leggi anche🧐
- 6 motivi per non salvare le password nel browser
- Il rapporto NordPass rivela che molti dirigenti usano password ridicolmente semplici
- Come inserire una password su Windows, rimuoverla e reimpostarla se la dimentichi improvvisamente