Думаю, все знают, что такое Lastpass. Многие доверили ему хранение всех своих логинов и паролей. И как не доверить, ведь, разработчики декларируют, что вся информация защищена и шифруется на стороне клиентов. Помятуя о недавней истории я решил разобрать плагин LastPass на кусочки и понять, что действительно защищено, а что нет и продолжить свой цикл статей про маленькие проблемы в крупных проектах.
Сначала мне все очень нравилось. LastPass создает хеш вашего логина и пароля, он и является ключом к AES алгоритму:
KEY = SHA256(EMAIL + PASSWORD)
Для авторизации, сервис использует двойной хеш, именно он отправляется на сервер и является проверочным ключом при авторизации:
Действительно, названия групп, учетных записей и данные передаются в зашифрованном виде, везде используется HTTPS. Но, как оказалось, есть вещи, которые отправляются на сервер без шифрования ключом пользователя. Например, это полный текущий URL сайта, на котором вы вводите пароль в LastPass в первый раз.
LastPass | How to Use LastPass
Вот запрос, который отправляет плагин на сервер (некоторые значения полей изменены):
POST /deliver_and_add.php HTTP/1.1
Host: lastpass.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:5.0) Gecko/20100101 Firefox/5.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 5045
Cookie: lang=en_US; sessonly=0; PHPSESSID=#;
X-LastPass: 1.74.0
X-wxsessid: #
Pragma: no-cache
Cache-Control: no-cache
sentms=#ref=68747470733a2f2f7777772e676f6f676c652e636f6d2f6163636f756e74732f536572766963654c6f67696e3f736572766963653d6d61696c26706173736976653d7472756526726d3d66616c736526636f6e74696e75653d68747470732533412532462532466d61696c2e676f6f676c652e636f6d2532466d61696c253246253346756925334468746d6c2532367a792533446c266273763d23367a2673733d31267363633d31266c746d706c3d64656661756c74266c746d706c63616368653d3226686c3d656e2666726f6d3d6c6f676f7574iid=name=#extjs=1requid=#sessonly=0requestsrc=ffpassive=truecontinue=https%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dlss=1ltmpl=defaulthl=endata=#REMOVED#charset=UTF-8
Вот так выглядит информация в поле data, для логина на habrahabr.ru и именно в таком виде все передается на сервер LastPass:
- Ваш почтовый адрес в LastPass
- Список всех сайтов, на которых у вас есть регистрация
- Список всех сайтов, на которых у вас одинаковые логины и/или пароли.
- Полные ссылки на формы на всех сайтах
- Полные ссылки из атрибута action форм на всех сайтах
P.S. Я все думал, зачем сервису эта информация, ведь ничего не стоило зашифровать URL и все поля целиком, но тут на днях прочитал Privacy Statement на сайте, и мне все сразу стало ясно:
LastPass: обзор сервиса для безопасного хранения паролей
LastPass may collect aggregated statistics about the behavior of visitors to its websites. For instance, LastPass may monitor the most popular website account on the LastPass.com site. LastPass may display this information publicly or provide it to others. In addition, LastPass may use your behavioral data and other data you provide to LastPass to customize advertisements on its site to its users. In this way we try to keep the majority of our services free.
However, LastPass does not disclose personally-identifying information other than as described below.
Как я понимаю, информация о том, на каких сайтах вы зарегистрированы может быть использована для составления вашего рекламного профиля. И это LastPass тоже не скрывает.
- lastpass
- information security
- research
- исследование
Источник: habr.com
LastPass — бесплатный браузерный менеджер паролей
Чем больше паролей, тем сложнее их помнить. Существует много специальных программ, помогающих с хранением паролей, но знают о них и пользуются ими очень немногие. В этой статье я хочу поделиться своими впечатлениями о бесплатном браузерном менеджере паролей LastPass, который я тестировал несколько месяцев.
Начнем с самого начала. Для чего вообще нужны менеджеры паролей? Мы каждый день пользуемся множеством онлайн-сервисов: почта, месенжеры, социальные сети, блоги, форумы, платежные системы, знакомства, развлечения и т.п. Для каждой системы требуется отдельный эккаунт и свой пароль.
Использовать для простоты один и тот же пароль крайне небезопасно, так как, взломав один из ваших эккаунтов, сработает принцип домино, и злоумышленники получат доступ и к остальным эккаунтам. Запомнить множество разных паролей в принципе нереально. Существует вариант формирования паролей по какому-то известному только вам принципу, но это также не всегда безопасно и удобно.
На помощь приходят менеджеры паролей – программы, которые безопасным образом собирают и хранят ваши пароли. Ваша задача сводится лишь к тому, чтобы запомнить один главный пароль от самого менеджера (так называемый мастер-пароль). Очень удобно!
Именно поэтому последнее время все персональные «антивирусные комбайны» (программы класса Internet Security и выше) снабжаются подобным функционалом. Но такие продукты не всем подходят и не всем по карману, поэтому интересно присмотреться к приличным бесплатным менеджерам паролей, которые, как оказалось, существуют.
LastPass – это полностью бесплатный индивидуальный менеджер паролей, который предназначен для создания, хранения и управления паролями к различным интернет-сайтам. Работать с другими программами кроме браузеров LastPass не умеет, поэтому далее мы будем для ясности называть его браузерным менеджером паролей.
Итак, посмотрим, что это за зверь. После установки программы с сайта www.lastpass.com к браузерам Mozilla Firefox и Microsoft Internet Explorer добавляются специальные плагины и тулбары. Сразу скажу, что на сайте производителя указана поддержка Google Chrome, но на деле ее нет (по крайней мере, на Windows 7 x64 и Google Chrome 5.0 не работает).
Важной особенностью LastPass является то, что программа хранит все ваши пароли «в облаке», т.е. на удаленном сервере вендора в специальном персонифицированном хранилище Vault. По своей сути LastPass – это даже не программа, а сервис. В это есть свои большие плюсы, а также большие минусы.
Плюсы состоят в том, что вы можете пользоваться хранимыми LastPass паролями на любом компьютере, где есть доступ в Интернет. Не нужно думать о резервировании базы, экспортом и импортом на другие компьютеры, синхронизацией и т.п. действиями, которые сводят на нет все удобство от использования менеджера паролей.
Минусы, естественно, состоят в отсутствии контроля над удаленным хранилищем и рисках того, что сервер или ваша главная учетная запись (мастер-пароль) будет взломан, а все пароли оптом уйдут на черный рынок.
Важно! При регистрации установите максимально стойкий мастер-пароль, который будете гарантировано помнить.
В LastPass есть функция экспорта сохраненных паролей из браузеров, что позволяет экспортировать сохраненные пароли из браузеров после установки.
Посмотрим теперь программу в действии на нескольких примерах. При регистрации на каком-либо веб-сайте LastPass автоматически определяет поля паролей (по атрибуту тега ) и предлагает сгенерировать и сохранить в своей базе безопасный пароль для него. Существует опция выбора варианта пароля, а также тонкие настройки генерации (кол-во символов и их тип).
Если вы вводите пароль вручную на каком-либо сайте, то LastPass автоматически предлагает сохранить пароль в своей базе данных. При необходимости можно отказаться от сохранения пароля, что актуально, например, для интернет-банкинга (эти пароли лучше не доверять никому и ничему).
В итоге ваш персональный LastPass Vault через какое-то время будет выглядеть примерно так. Там же при необходимости можно сделать заметки к паролям, экспортировать или импортировать пароли и т.п.
При заходе на сайт, требующий авторизации, пароль от которого был ранее сохранен, менеджер паролей предложит залогиниться или сделает это автоматически (есть специальная опция). Эта возможность помимо удобства дает большее. Вы не набираете пароли с клавиатуры и минимизируются риски того, что они будут перехвачены вредоносной программой.
Настройки LastPass вполне достаточны. Можно настроить внешний вид программы, функции оповещения и некоторые важные функции безопасности (см. рисунки ниже).
Интересной функцией LastPass является встроенный аудит надежности используемых паролей. При генерации паролей их надежность показывается на специальном шкале (см. выше), но можно быстро проверить надежность всех паролей, включая старые.
Результаты анализа надежности паролей приводятся в виде % от идеального, в моем случае получилось почти 69% — есть над чем поработать.
Далее приводятся некоторые статистические данные по средней длине пароля, повторным паролям, слабым паролям и т.д. Можно посмотреть анализ надежности для каждого пароля отдельно в специальной таблице, но по понятным причинам я ее приводить здесь не буду 🙂
В заключение могу сказать, что лично для меня функциональность LastPass оказалась достаточна. Тестирование в течение нескольких месяцев не выявило никаких существенных недостатков (кроме отсутствия поддержки Google Chrome). Большинство паролей моих паролей связаны именно с веб-сервисами, и браузерный менеджер паролей оптимизирует работу с ними и существенно экономит время. Функции автоматического логина на сайты, генерации стойких паролей, автозаполнения форм по шаблонам, экспорт/импорт базы данных и анализа надежности всех паролей в целом оказываются очень полезными.
Еще раз хочу обратить внимание, что сохраненные в LastPass пароли хранятся на удаленном сервере. Плюсы и минусы этого были описаны мной выше. Если вы по какой-то причине не доверяете «облачным сервисам», то вам стоит подыскать какой-то другой менеджер паролей.
Обсуждение менеджеров паролей ведется на нашем форуме.
Подробнее о менеджере паролей LastPass, а также его платной Premium версии можно узнать на сайте https://lastpass.com/.
Можно посмотреть продукт в действии, правда с комменратиями на анг. языке.
Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.
- Аналитика
- Практика
- Интервью
- Сравнения
- Обзоры
- Сертифицированные продукты
- Корпоративные продукты
- Персональные продукты
- Сводный реестр ФСТЭК и AM Test Lab
Источник: www.anti-malware.ru
Освободите память для важной информации с помощью хранилища LastPass
Эффективная защита доступа к банковским счетам, веб-почте или аккаунту социальной сети становится всё сложнее. Три основные правила безопасности говорят, что для каждой услуги надо использовать уникальный пароль, достаточно большой и сложный, и регулярно его менять.
Мало кто в состоянии выполнить эти требования, если учесть количество мест, которые нужно таким образом защитить. Средний интернет-пользователь использует десятки паролей, каждый из которых должно иметь по несколько символов и его надо модифицировать, например, один раз в месяц. Трудно запомнить такое количество данных и очень легко ошибиться. Результатом может быть блокировка счета в банке, потеря доступа к сообщениям электронной почты или затрудненный контакт с друзьями.
На помощь приходят менеджеры паролей. Эти приложения хранят все ваши пароли, логины и другие важные данные в хорошо защищенной, зашифрованной базе данных и, в случае необходимости, предоставляют их пользователю.
Часто они автоматически заполняют поля паролей на сайтах или информация в формах входа. Пользователь должен помнить только один – родительский пароль администратора, который открывает доступ к базе данных. Просто и очень удобно!
Установка и настройка программы LastPass
Прежде, чем вы начнете пользоваться удобствами, которые предлагает программа LastPass, необходимо её правильно установить и интегрировать с используемым браузером.
Во-первых, перейдите на сайт разработчика (https://lastpass.com/) и скачайте установочный файл.
После запуска установочного файла выберите в первом окне ссылку Дополнительные параметры . LastPass автоматически обнаружит установленные в вашей системе веб-браузеры и для каждого предложит установить специальный пакет.
Если вы не хотите, чтобы менеджер работал с одной из программ, снимите флажок в соответствующем поле, например, Safari. Заботясь о сохранности ваших данных, вы можете также убрать флажок Отправлять анонимные отчеты об ошибках. и, возможно, Хранить историю моих входов и заполнений форм. Нажмите кнопку Установить LastPass .
Если LastPass заметит, что открыто окно браузера, предложит его закрыть. Нажмите кнопку Закрыть программы . В следующем окне нажмите Создать новую учетную запись или войдите в свою учетную запись, если таковая имеется.
В первом поле сверху укажите свой адрес электронной почты. Он будет одновременно именем вашей учетной записи. В поле ниже – введите пароль. Обратите внимание, чтобы он было достаточно сложным – панель, расположенная под полем указывает на его силу. Подтвердите пароль и введите в поле подсказку, помогающую восстановить ключ, если Вы его забудете.
Отметьте также пункт Я согласен на. Нажмите кнопку Создать учетную запись .
Если приложение LastPass обнаружит в памяти браузеров наличие любых паролей, то предложит их перенести в хранилище LastPass и удалит с вашего компьютера. Если вы хотите импортировать пароли, нажмите Импорт . В противном случае используйте кнопку Нет, спасибо .
После запуска браузера, Вам надо будет, тем или иным образом, подтвердить установку расширения LastPass!
Использование преимуществ сейфа LastPass
Благодаря установке плагинов, функциональность LastPass практически полностью автоматизирована. Изменения параметров или добавление личных данных требуют входа в систему в окне конфигурации, но использование функций уже нет.
Если Вы уже авторизовались на каком-то сайте, и с тех пор не очищали данные браузера, существует большая вероятность того, что данные авторизации будут импортированы в программу во время установки. Откройте страницу входа в систему выбранного узла.
На панели инструментов вы заметите значок LastPass, к которому добавлена какая-то цифра. Он указывает, сколько записей из базы программы могут быть использованы на открывшейся страницы. Нажмите кнопку в окне браузера и в контекстном меню разверните группу Показать подходящие сайты . Выберите из списка соответствующий пункт для входа в систему.
Доступные команды меню позволяют, в частности, автоматически войти на сайт, а также и скопировать в форму только имя пользователя или пароль. Нажмите опцию Автоматического заполнения.
Теперь достаточно только ввести мастер-пароль LastPass и нажать клавишу Enter. Это единственный ключ, который вам нужно будет запоминать и каждый раз вводить. Благодаря этому, пароли для веб-сайтов, сервисов, веб-сервисов могут быть очень длинными, сложными и их можно часто менять.
Процесс входа в систему можно сделать ещё быстрее – если после открытия страницы с формой входа в систему, щелкнуть страницу правой кнопкой мыши, выбрать в контекстном меню LastPass, потом Автоматическое заполнение.
Если вы хотите добавить в хранилище LastPass пароль на какой-либо сайт, откройте его в браузере. В первый раз введите, как обычно, данные пользователя, необходимые для входа в систему.
Нажмите на небольшую иконку LastPass, расположенную с правой стороны каждого поля формы, и нажмите значок, который отображается рядом с командой Сохранить сайт.
В поле Имя вы можете дать название записи сохранения. По умолчанию там находится веб-адрес сайта. Чтобы в хранилище был порядок, пароль можно разместить в дополнительных папках и подпапках.
Каталог выбирается при развертывании списка Папка. Нажмите кнопку Сохранить сайт и войдите на сайт. Данные, необходимые для открытия страницы, будут сохранены в программе и могут быть введены в формах автоматически.
Систематизация данных, накопленных в сейфе
Практически «автоматическое» использование LastPass приводит к тому, что мы, как правило, очень редко заглядываем в программу. Иногда, однако, необходимо просмотреть список сохраненных записей, отсортировать данные, создать новые каталоги, чтобы в списке царил порядок, удалить неиспользуемые пароли.
Запустите браузер и нажмите на панели инструментов кнопку LastPass. Выберите пункт Хранилище LastPass. Окно программы открывается в дополнительной вкладке. Откройте раздел Сайты.
В этом списке находятся все сайты, для которых были сохраненные данные для входа. Они разделены на группы, причем деление это связано, скорее, с присвоения записям тегов, чем с размещением в отдельные папки. Поэтому один и тот же сайт может оказаться в нескольких группах.
Если при сохранении информации для входа на сайт Вы не указали каталог, это можно сделать сейчас, нажав правой кнопкой мыши на соответствующую запись и выбрав в контекстном меню пункт переместить в папку. Введите новое имя и нажмите Изменить .
Рядом с каждой позицией отображается несколько значков. Главное окно редактирования записи открывается нажатием на иконку с гаечным ключом. Здесь вы можете изменить адрес страницы, изменить данные для входа в систему или, в некоторых случаях, включить функцию автоматического входа.
Источник: webznam.ru