последний проход


LastPass - один из самых популярных и известных менеджеров паролей в мире, но соответствует ли он его названию? В этом обзоре LastPass мы собираемся поместить его под микроскоп, чтобы ответить на этот вопрос.

Кроме того, мы собираемся изучить история и безопасность LastPass, чтобы включить предыдущие нарушения безопасности, которые отправили тревогу через базу пользователей.

Можно ли доверять LastPass вашим личным данным? Это один из лучших менеджеров паролей или его затмили конкуренты??

Продолжайте читать этот обзор LastPass, чтобы узнать.

Contents

+ Pros

  • Пароли, зашифрованные локально
  • Автоматическая синхронизация между всеми устройствами
  • Встроенные пошаговые руководства для новых пользователей
  • Данные, зашифрованные в пути и в состоянии покоя
  • Однопользовательские и многопользовательские аккаунты
  • 1 ГБ зашифрованного хранилища файлов (платные аккаунты)
  • Поддерживает 2FA
  • Соответствует GDPR
  • Проведен сторонний аудит внутренних процессов

- минусы

  • Сложно связаться со службой поддержки
  • Плохое качество ответов даже для приоритетной поддержки
  • Большое недавнее повышение цен на премиальный план
  • Базируется в США и хранится в США.
  • Собирает и делится некоторыми пользовательскими данными
  • Может быть вынужден раскрыть данные пользователя

Обзор возможностей LastPass

Вот краткий обзор полного набора функций LastPass, некоторые из которых доступны только в платных версиях продукта:

  • Поддерживаемые платформы включают MacOS, Android, iOS и основные браузеры
  • Данные, зашифрованные в пути и в состоянии покоя
  • Генератор защищенных паролей
  • Безопасный обмен паролями
  • Отчеты & Анализ
  • Заполнение форм
  • Поддержка 2FA и многофакторной аутентификации
  • Импорт / Экспорт пароля
  • Шифрование AES-256 и PBKDF2
  • Хранение зашифрованных файлов
  • Синхронизируется на всех ваших устройствах и браузерах
  • Экстренный доступ
  • LastPass Authenticator
  • LastPass для приложений

Основные функции LastPass (доступны для бесплатных пользователей)

Вот основные функции LastPass, к которым у вас есть доступ в бесплатных версиях продукта. У вас есть возможность:

  • Храните пароли, безопасные заметки, адреса, данные кредитной карты, банковские счета
  • Надежно синхронизируйте пароли между всеми вашими устройствами
  • Сохранить & заполнить пароли
  • Безопасный генератор паролей
  • Безопасные заметки
  • Двухфакторная аутентификация
  • Вызов безопасности
  • Обмен данными один на один
  • Аутентификатор LastPass

Заметка: Я расскажу о других версиях LastPass и их дополнительных функциях чуть позже в этом обзоре. Но сначала давайте поговорим о некоторой справочной информации, которая поможет вам решить, стоит ли вам читать дальше.

Информация о компании (кому принадлежит LastPass?)

LastPass хранит пароли для всего мира с августа 2008 года. В октябре 2015 года LastPass была приобретена LogMeIn, Inc.

LogMeIn - публичная компания, базирующаяся в США и котирующаяся на фондовой бирже NASDAQ, с годовым доходом более 1 миллиарда долларов. Если вы беспокоитесь о доверии ваших данных небольшой компании с небольшим доходом и несколькими сотрудниками, это не будет проблемой.

Затем, в декабре 2019 года, LogMeIn официально объявил, что его приобретают американские фирмы прямых инвестиций. Из их пресс-релиза:

Компания LogMeIn, Inc., ведущий поставщик облачных подключений, объявила сегодня о заключении окончательного соглашения (или «Соглашения»), которое должно быть приобретено в результате транзакции во главе с филиалами Francisco Partners, ведущего мирового технологического направления. частной акционерной компании, включая Evergreen Coast Capital Corporation («Evergreen»), дочернюю компанию Elliott Management Corporation («Elliott»), за 86,05 долл. США на акцию наличными. Общая стоимость сделки LogMeIn оценивается в совокупной оценке капитала приблизительно в 4,3 миллиарда долларов.

Хорошо ли, что LogMeIn был приобретен фирмами венчурного капитала США? Время покажет, но это согласуется с тенденцией, которую мы наблюдаем, продавая услуги конфиденциальности различным организациям:

  • Частный доступ в Интернет был приобретен Kape Technologies
  • Стартовая страница приняла большие инвестиции от System1 (рекламная компания)

Но это не удивительно, учитывая растущую обеспокоенность по поводу защиты данных, кражи личных данных и мошенничества, а также других тревожных статистических данных о кибербезопасности. Люди тратят больше денег на эти услуги, следовательно, рост - но вернемся к обзору LastPass.

Условия использования LastPass

Поскольку LastPass был приобретен LogMeIn, применимыми Условиями обслуживания (TOS) является документ LogMeIn. Это общее в том смысле, что оно охватывает все многие услуги, которые они предлагают. Это также довольно плотный легальный. Вот что у меня получилось (но я не юрист).

Условия обслуживания кажутся довольно стандартными. Есть один момент, к которому некоторые люди могут относиться с подозрением. Компания заявляет, что,

В случае необходимости и в соответствии с действующим законодательством, мы будем сотрудничать с местными, государственными, федеральными и международными органами власти в отношении Услуг.

Поскольку компания базируется в Соединенных Штатах, которые являются страной наблюдения Five Eyes, это означает, что ваши данные могут быть доступны различным агентствам США в соответствии с законодательством США. Поскольку ваши данные зашифрованы и LogMeIn не имеет возможности расшифровать их, они не могут многое передать.

Однако это не является чем-то необычным, поскольку это также влияет на безопасные почтовые сервисы. Например, ProtonMail также был вынужден выполнять законные запросы данных, но поскольку электронные письма хранятся в зашифрованном виде в покое, в любом случае, мало что можно получить..

Тем не менее, поскольку код LastPass не является открытым исходным кодом, в отличие от Bitwarden, например. Поэтому вы должны поверить на слово компании, что они не могут прочитать ваши данные, и что ничего не происходит с бэкдорами или эксплойтами.

Политика конфиденциальности LastPass

Политика конфиденциальности LastPass (LogMeIn) гласит, что компания собирает различные типы личной информации, когда вы пользуетесь их услугами. Это может включать в себя:

  • Тип вашего устройства
  • Операционная система и версия
  • UDID устройства (уникальный идентификатор устройства)
  • IP-адрес, с которого вы подключаетесь
  • Информация о местонахождении
  • Языковые настройки
  • Другие диагностические данные

Они используют эти данные для запуска своих услуг и могут передавать их третьим сторонам или в соответствии с требованиями законодательства. Если этот сбор данных вызывает беспокойство, я предлагаю вам посетить нашу страницу инструментов конфиденциальности, чтобы узнать, как лучше защитить ваши данные. Кроме того, наши руководства по безопасным браузерам и лучшим VPN-сервисам также полезны в этом отношении..

Аудит LastPass

LastPass и другие сервисы LogMeIn были подвергнуты независимому аудиту. Аудит LastPass был проведен в 2018 году компанией Tevora Business Solutions.

Этот аудит под названием «SOC 3® - Отчетность по контролю в сервисной организации» был разработан для проверки соответствия внутреннего контроля компании определенным принципам трастового обслуживания, как они определены AICPA (Американский институт сертифицированных общественных бухгалтеров). Отчет призван показать, что безопасность, доступность, целостность обработки, конфиденциальность и контроль конфиденциальности в LogMeIn соответствуют этим принципам. Результаты аудита заключались в том, что, по мнению аудиторов, средства контроля в системе управления учетными записями и доступом LogMeIn были,

… Действует в течение периода с 1 сентября 2017 года по 31 августа 2018 года, чтобы обеспечить разумную уверенность в том, что обязательства LogMeIn IAM по обслуживанию и системные требования были выполнены на основе применимых критериев доверительных услуг, справедливо изложены во всех существенных отношениях.

Это хорошая информация, поскольку она говорит нам, что сторонний аудитор считает, что в LogMeIn имеются хорошие внутренние процедуры. Тем не менее, важно понимать, что это совсем другой тип аудита, чем тип, проводимый для таких продуктов, как Bitwarden..

Аудит Bitwarden, проводимый компанией по безопасности Cure53, включал тестирование проникновения в «белый ящик», аудит исходного кода и криптографический анализ кода Bitwarden и защиты от атак. Этот тип аудита безопасности действительно является золотым стандартом, так как Cure53 также проверял VPN-сервисы, такие как ExpressVPN..

В идеале компания должна проводить регулярные проверки как внутренних, так и внешних угроз. Реально, однако, любой аудит лучше, чем ничего, хотя было бы лучше увидеть планку, поднятую в этой области.

Приложения LastPass

LastPass предлагает полный спектр приложений (клиентов) и расширений для использования. К ним относятся приложения и расширения для:

  • Настольные приложения для Windows, Mac OS и Linux
  • Мобильные приложения для Android и iOS (iPhone и iPad)
  • Расширения браузера для браузеров Chrome, Firefox, Safari, Internet Explorer, Opera, Microsoft Edge и Chromium (включая Brave)

Lastpass приложения

Вы можете увидеть все различные приложения и расширения для LastPass здесь.

LastPass практическое тестирование и обзор

В этом обзоре LastPass я концентрируюсь на бесплатном (личном) плане. Этот план должен быть достаточным для большинства людей. Мы рассмотрим установку и использование расширения LastPass в браузере Brave..

Установка расширения LastPass и создание учетной записи

Вы устанавливаете LastPass как любое типичное расширение браузера через интернет-магазин. После установки расширения LastPass, щелкнув по нему, вы откроете окно, подобное приведенному ниже, чтобы вы могли создать учетную запись.

Расширение браузера LastPass

Нажмите на Завести аккаунт ссылка внизу окна, и LastPass проведет вас через процесс регистрации. Вам необходимо ввести действующий адрес электронной почты, чтобы завершить процесс создания учетной записи. LastPass отправит сообщение с подтверждением на этот адрес, и как только вы ответите на него, вы будете готовы к работе.

Добавление учетных данных для входа в LastPass

Одна из приятных особенностей LastPass - это пошаговые руководства для новых пользователей. Вы столкнетесь с одним сразу после того, как настроите LastPass. Он предлагает вам помочь сохранить ваш первый набор учетных данных, а также позволяет войти через стороннюю учетную запись. Это займет всего минуту, и к тому времени, как вы закончите, вы будете готовы ввести пароли самостоятельно.

Если расширение LastPass установлено и активно, просто зайдите на сайты в обычном режиме. Если учетные данные сайта еще не сохранены в LastPass, появится всплывающее окно, похожее на приведенное ниже, позволяющее вам добавить учетные данные сайта в хранилище одним щелчком мыши..

добавление менеджера паролей lastpass

Что делать, если вы переходите с другого менеджера паролей и вас не волнует идея ручного повторного ввода всех паролей, которые вы сохранили в другом продукте??

К счастью, LastPass может импортировать данные из многих других менеджеров паролей. Однако процесс может быть немного сложным. Если вы рассматриваете возможность перехода на LastPass из другого менеджера паролей, вы можете посетить эту страницу и посмотреть, что относится к вашему конкретному случаю..

Работа с вашими паролями

После добавления учетных данных ваше хранилище LastPass будет выглядеть примерно так:

последний проход

Когда вы наводите курсор мыши на один из этих элементов, LastPass отображает ваши параметры для этого элемента. Это делает для чистого и привлекательного просмотра содержимого вашего хранилища.

Хотя LastPass в основном используется для паролей, он может обрабатывать гораздо больше, чем просто учетные данные для входа. Он поддерживает эти типы данных:

  • Пароли
  • Примечания
  • Адреса
  • Платежные карты
  • банковские счета
  • Wi-Fi пароли

Запись хранилища для каждого типа структурирована так, чтобы иметь поля для всех соответствующих данных. Например, вот чтоДобавить банковский счетФорма выглядит так:

формы последнего прохода

Теперь давайте посмотрим, как изменить данные, которые вы сохранили в хранилище.

Редактирование ваших данных

LastPass хранит зашифрованную копию хранилища на каждом из ваших устройств, в дополнение к копии, хранящейся на их серверах. Это позволяет просматривать ваше хранилище независимо от того, подключены вы к сети или нет. Тем не менее, когда вы не онлайн вы можете просматривать только локальную копию хранилища; Вы не можете редактировать это.

Если вы хотите редактировать данные в вашем хранилище (и онлайн), вы можете просто нажать Откройте мое хранилище в расширении LastPass. Это откроет ваше хранилище в новой вкладке вашего браузера.

Менеджер паролей LastPass в действии

LastPass пытается упростить использование сохраненных вами паролей. Как только вы попадаете на страницу входа на сайт, который известен LastPass, он вставляется в соответствующие поля, например:

последний проход безопасен

Нажатие на этот значок заставляет LastPass отображать окно с учетными данными, которые у него есть для этой страницы. Нажмите, чтобы сообщить LastPass, чтобы ввести эти данные в поля, которые, как он знает, содержат данные для.

Вы видите маленький номер в правом нижнем углу значка LastPass? Это указывает на количество записей, которые LastPass имеет для этой страницы. Если здесь появится число больше единицы, LastPass отобразит список всех соответствующих учетных записей, которые вы можете выбрать.

Генерация безопасных паролей с LastPass

Если у вас есть менеджер паролей, который запоминает все для вас, вы можете использовать длинные сложные пароли для всего. LastPass включает в себя безопасный генератор паролей, который может создавать эти длинные сложные пароли для вас. Чтобы использовать его, нажмите на расширение, затем выберите Создать безопасный пароль вариант.

Генератор паролей выглядит так:

генератор последнего пароля

По умолчанию он настроен на создание надежных паролей, хотя я бы посоветовал вам изменить длину пароля как минимум на 16 символов для большей безопасности..

Повышение безопасности LastPass

Говоря о повышении безопасности ваших данных, в бесплатной версии LastPass есть еще два варианта.

Первый Многофакторная аутентификация. LastPass поддерживает ряд различных аппаратных и программных аутентификаторов. Вы можете найти все варианты на этой странице.

Другой инструмент, который предлагает LastPass, это их Проблема безопасности. Это автоматический анализ данных в вашем хранилище. Он выполняет такие вещи, как проверка, чтобы увидеть, связан ли какой-либо из адресов электронной почты в хранилище с веб-сайтом, который мог быть взломан. Он также обнаруживает и помогает вам обновить:

  • Слабые пароли
  • Повторно используемые пароли
  • Старые пароли

Это, безусловно, полезный инструмент, доступ к которому можно получить через подменю «Параметры учетной записи» в расширении браузера..

Совместное использование паролей и других данных

LastPass позволяет безопасно делиться данными с другими людьми. Бесплатная версия поддерживает обмен с один другая личность. LastPass Sharing Center Здесь вы можете управлять общими элементами. Вы можете узнать, как это работает здесь.

Дополнительные функции LastPass

До сих пор мы концентрировались на основных функциях (включенных в бесплатную версию) LastPass. Но в зависимости от вашей ситуации вам может понадобиться одна или несколько функций, доступных только в платных версиях..

Чтобы помочь вам решить, если вам нужно больше, чем основы, я собрал краткое описание наиболее интересных функций ниже.

Экстренный доступ

Существует экстренный доступ, чтобы дать другому пользователю полный доступ к вашим данным LastPass, если с вами что-то случится.

LastPass для приложений

LastPass для приложений (LastApp) - это настольное приложение Windows, которое имеет доступ к вашему хранилищу LastPass. Он может вводить ваши пароли в настольные приложения для вас.

1 ГБ хранилища зашифрованных файлов

Это увеличивает доступное пространство хранилища для защищенных заметок с 50 МБ до 1 ГБ..

Панель управления семейного менеджера

План LastPass Families позволяет вам иметь до шесть пользователей для одного аккаунта. Панель управления Family Manager является центром управления для этого.

Особенности команды

Команды LastPass позволяют управлять до 50 пользователей с одним аккаунтом. Это включает в себя командную политику и простую отчетность.

Особенности предприятия

Управление паролями для всего предприятия, начиная с автоматической регистрации и заканчивая автоматизированными отчетами, административным контролем и многим другим. Полная разбивка здесь.

Поддержка LastPass

Страницы поддержки клиентов LastPass содержат много информации, которая позволяет решить многие проблемы, не обращаясь в службу поддержки. Это хорошо, так как довольно сложно связаться с живым человеком поддержки. Система чата - это робот, который не очень хорошо отвечает на вопросы, и, если у вас нет плана с приоритетной поддержкой, вам нужно будет пробиться через некоторые возможные решения, прежде чем сайт предложит вам отправить электронное письмо техническому специалисту..

У меня не было проблем с поддержкой LastPass. Однако большинство комментариев о компании на таких сайтах, как ConsumerAffairs.com, жалуются на сложность поиска способа связаться со службой поддержки, а также медленные и / или не очень полезные ответы даже для людей с расширенной поддержкой..

Безопасность LastPass (все еще заслуживает доверия после нескольких взломов?)

Хотя LastPass шифрует ваши данные на вашем устройстве с использованием AES-256-битного шифрования с использованием PBKDF2 SHA-256 и соленых хэшей, они все еще были взломаны.

В июне 2015 года LastPass признал, что хакерам удалось украсть адреса электронной почты аккаунта, напоминания пароля, параметры сервера на пользователя и хеш-коды аутентификации. Компания не нашла никаких доказательств того, что данные хранилища (включая профили заполнения форм, защищенные заметки, имена пользователей сайта и пароли) были взяты. Компания предприняла немедленные шаги, чтобы улучшить их безопасность.

Согласно этой истории HackRead, LastPass был также взломали как минимум вдвое больше в 2016 году. В обоих случаях злоумышленниками были белые хакеры, которые сообщили о проблемах LastPass.

В 2017 году Darknet.org.uk сообщил, что оба расширения LastPass Firefox и Chrome были созданы для утечки всех ваших парольных фраз LastPass путем простого просмотра вредоносного веб-сайта. Как сообщается, проблема также может позволить вредоносному сайту запускать команды на компьютере пользователя. Еще раз, инженеры LastPass приступили к работе, чтобы исправить проблемы.

Хотя видеть взломы и утечки не очень приятно, есть несколько способов посмотреть на это.

  1. Критический подход. Перейдите к LastPass, чтобы узнать о количестве возникших проблем, и, возможно, перейдите в другой менеджер паролей..
  2. Философский подход. С таким большим количеством пользователей и такой известностью, вероятно, что LastPass атакован больше, чем другие менеджеры паролей. В то же время, вероятно, больше хакеров и других «хороших парней» ищут проблемы с LastPass, чем для менее популярных продуктов..
  3. Оптимистический подход. Вы также можете увидеть это как позитив. Реально, любой умеренно сложный программный продукт имеет ошибки и уязвимости. Люди находят и решают проблемы в LastPass. Со временем это делает продукт более безопасным и безопасным (по крайней мере, в теории).

Я оставлю на ваше усмотрение решение, как вы хотите реагировать на количество взломов и утечек, обнаруженных в коде LastPass..

Конфиденциальность LastPass

Как мы уже обсуждали, просматривая их Политику конфиденциальности, LastPass собирает некоторую личную информацию и может делиться ею с партнерами и правоохранительными органами. Они собирают больше информации, чем мне хотелось бы, но по крайней мере данные, которые вы храните в хранилище, безопасны - или это так??

Этот пост 2017 года на Hackernoon.com предполагает, что LastPass может раскрыть некоторые ваши личные данные. Автор показал, что URL-адреса сайтов, которые вы храните в LastPass, не зашифрованы. Если бы они были, у LastPass не было бы возможности отображать логотипы сайтов в LastPass Vault..

Вместо того, чтобы шифровать URL-адреса, как остальные данные, LastPass просто сохраняет их в виде шестнадцатеричных строк, которые можно легко декодировать. Еще хуже, иногда URL содержат конфиденциальную информацию.

Например, есть способы встроить учетные данные в URL. В подобных сценариях вы можете отправлять личную информацию в LastPass в незашифрованном виде, но большинство веб-сайтов НЕ должны делать это.

Это потенциально большая проблема конфиденциальности, но только при правильных обстоятельствах. Похоже, что единственный способ использовать эту проблему - это иметь доступ к данным вашего хранилища. Это будет означать либо взлом вашего компьютера, либо получение доступа к вашим данным на серверах LogMeIn..

И, как мы видели ранее, сторонний аудитор говорит, что LogMeIn имеет системы для предотвращения несанкционированного доступа к вашим данным. Итак, еще раз все сводится к тому, считаете ли вы эту ситуацию неприемлемым риском в ваших конкретных обстоятельствах..

LastPass цены и тарифные планы

Сколько будет стоить LastPass, зависит от ваших потребностей. Для большинства пользователей бесплатный план должен быть всем, что вам нужно. Однако, как вы можете видеть на изображении ниже, планы Premium и Families предлагают дополнительные преимущества для платных пользователей..

последняя цена

В то время как некоторые менеджеры паролей ориентированы на отдельных пользователей или небольшие группы, LastPass предлагает комплексный уровень бизнес-планов с функциями, подходящими для многих типов организаций..

Альтернативы LastPass

Если вы являетесь единственным пользователем или управляете небольшой командой, вам следует изучить Bitwarden. Они предлагают бесплатный план, а также учетные записи организаций, которые могут удовлетворить ваши потребности. Их код является открытым исходным кодом и проверен уважаемой охранной фирмой. И я не видел никаких сообщений о том, что они были взломаны или утечка данных.

Если вам нужен менеджер паролей для корпоративной среды, вы можете проверить 1Password или, возможно, Dashlane. Они оба предлагают полный спектр бизнес-функций и строгих политик безопасности..

Заключение обзора LastPass

Так что LastPass подходит для вас?

Это зависит от различных факторов и ваших собственных потребностей. Бесплатный план имеет большой смысл, если вам нужна помощь в запоминании ваших паролей. Если вы хотите управлять паролями для семьи, команды или всего предприятия, у LastPass есть планы, которые могут выполнить эту работу за вас..

Однако, если вы больше сосредоточены на безопасности и конфиденциальности, вы можете рассмотреть другое решение, например Bitwarden. В зависимости от вашей модели угроз, предыдущие проблемы безопасности и закрытая база исходного кода могут оставить вас при рассмотрении других вариантов.

Смотрите наше основное руководство по менеджерам паролей для дополнительных альтернатив.

Другие отзывы менеджеров паролей вы можете проверить:

  • Bitwarden
  • Dashlane
LastPass Обзор
  • Рейтинг









    (2.5)

{
"@context": "http://schema.org",
"@тип": "Рассмотрение",
"itemReviewed": {
"@тип": "SoftwareApplication",
"имя": "LastPass",
"описание": "LastPass - это очень популярный безопасный менеджер паролей, но он также имеет некоторые уязвимости и недостатки.. ",
"образ": "https://restoreprivacy.com/wp-content/uploads/2020/01/lastpass-review-1.jpg",
"Операционная система": "Windows, Mac OS, Linux Ubuntu, Android и IOS ",
"applicationCategory": "Менеджер паролей"
},
"reviewRating": {
"@тип": "Рейтинг",
"ratingValue": 2.5,
"bestRating": 5,
"worstRating": 0
},
"автор": {
"@тип": "Человек",
"имя": "Генрих Лонг"
},
"reviewBody": ""
}

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me