Lastpass для мазилы. LastPass продался. Но есть альтернативы. Дополнительные опции аккаунта

Познакомьтесь с LastPass,- одной из лучших программ для хранения паролей, распространяемой в виде единого установщика плагинов для Internet Explorer, Google Chrome, Mozilla Firefox, Opera и Apple Safari, разработанной компанией LastPass. Пароли в LastPass защищены мастер-паролем, хранятся локально и могут быть синхронизированы с любым другим браузером. LastPass также имеет заполнитель форм, что позволяет автоматизировать ввод паролей и заполнение форм. Плагин поддерживает генерацию паролей, расшаривание данных, журналирование входа на сайты, создание защищенных заметок и многое другое. Скачать LastPass можно ниже.

Один главный пароль (девиз на сайте - "Последний пароль, который вы должны запомнить!").
Синхронизация браузеров.
Генерация сильных паролей.
Шифрование паролей.
Заполнитель онлайн-форм.
Импорт паролей из других менеджеров паролей, а также экспорт.
Пароли хранятся в облачном сервисе lastpass.com в зашифрованном виде (AES-256).
Мастер-пароль LastPass хранится у вас в голове и при вводе его все пароли расшифровываются из базы данных (AES-256).
Пароли передаются по защищенному (https) соединению.
LastPass создает хеш вашего логина и пароля, он и является ключом к AES алгоритму.
Для авторизации сервис LastPass использует двойной хеш, именно он отправляется на сервер и является проверочным ключом при авторизации.
Названия групп, учетных записей и данные передаются в зашифрованном виде, везде используется https.
LastPass собирает пароли, которые не видят другие менеджеры паролей, в том числе многие AJAX-формы, и позволяет легко создавать надежные пароли.
Вы сможете импортировать и экспортировать данные из многих известных систем хранения паролей (таких, как: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox и Internet Explorer и многих других). Пароли в LastPass защищены мастер-паролем и хранятся локально и могут быть синхронизированы с любым другим браузером.
LastPass, использует сильную криптографию на клиентской стороне,- пароли уходят с компьютера уже зашифрованными, и расшифровать их сможет только сам пользователь. И если даже кто-то получит эти данные, то шифрованные данные в принципе бесполезны.
Мне больше всего нравится, что все данные хранятся на компьютере и защищенном сервисе, периодически синхронизируются, доступ есть с любого компьютера, где стоит LastPass. Кроме того в нем очень удобная функция создания защищенных заметок и другие, не менее полезные функции.

Практически все. Программа все делает сама. Предложит сохранить логин - пароль, введет их в поля при последующем посещении страницы, или вообще войдет на нее сама (если хотите). При этом генерирует пароли, которые вам совершенно не нужно запоминать, и для каждого ресурса они будут разными. Это многократно повышает безопасность защищенного доступа.
Если хотите,- ваши секреты всегда могут быть с вами, где бы вы ни работали и какой бы компьютер не использовали. Для этого можно использовать локальную версию (LastPass Pocket) для флешки(для этого желательно предварительно экспортировать свои данные из аккаунта LastPass в файл на диске, чтобы потом иметь возможность открывать его портативной версией где угодно, без установки основной программы). Все работает без каких либо ограничений на количество сохраненных данных, времени использования, бесплатно и по-русски. Хотя есть и платная версия, с несколько более расширенными возможностями, но о ней речь не идет.
Процедура установки программы и регистрации аккаунта LastPass довольно проста, надо просто соглашаться с установками по умолчанию, причем установщик предложит отключить менеджеры паролей в установленных браузерах из-за их ненадежности. Создать мастер-пароль также очень просто (тут вам будут предложены варианты и показана устойчивость вашего мастер-пароля к взлому). Кроме того, разработчики рекомендуют периодически менять свой мастер-пароль для предотвращения несанкционированного доступа к вашему аккаунту LastPass. У самого сервиса LastPass доступа к вашим конфиденциальным данным нет, о чем они честно предупреждают. То есть, если вы забудете или потеряете свой мастер-пароль, вам будет выслана только подсказка для восстановления пароля (а не ваши пароли, логины и т.п.), или придется воспользоваться восстановлением аккаунта.
Большой плюс LastPass, на мой взгляд, в том, что при наличии уже существующего аккаунта LastPass (ну и выученного мастер-пароля, естественно, для входа в свой аккаунт), вам совершенно нечего боятся "падения" иили переустановки системы, надо только установить повторно LastPass и войти в свой аккаунт, дальше программа будет работать за вас. Само собой разумеется, все ваши пароли, сайты, форумы, защищенные заметки, в общем, все, что вы сохраняли, будет восстановлено на новом компьютере. Разработчики не дремлют, постоянно обновляют LastPass, усиливая его (и вашу безопасность) и улучшают программу, причем в браузерах обновление расширений LastPass идет в фоновом режиме, не мешая работе.
Такое вот описание возможностей LastPass получилось, далеко неполное, надеюсь, программа понравится. В конце отмечу, что перепробовав множество менеджеров паролей, платных и бесплатных, давно остановил свой выбор на LastPass из-за его простоты и надежности. Программа довольно часто обновляется, как на официальном сайте, так и сервисах расширений Google, Firefox, Opera и Safari, есть подробная онлайн-справка и видео по настройке и использованию программы.

Еще летом 2016 года специалист Google Project Zero Тэвис Орманди (Tavis Ormandy) искренне : «Люди правда пользуются этой LastPass-штукой?». Тогда Орманди обнаружил в коде аддона LastPass для Firefox 0-day уязвимость, которая позволяла удаленно скомпрометировать все пароли пользователя.

Теперь, спустя почти год, эксперт вновь решил испытать безопасность LastPass на прочность, и, к сожалению, нельзя сказать, что приложение выдержало эту проверку. Орманди пишет , что обнаружил проблему в официальном расширении LastPass для браузера Chrome. Согласно сообщению исследователя, content_scrip расширения содержит уязвимость, атака на которую может привести к компрометации всех хранящихся в приложении учетных данных. Причем для реализации атаки злоумышленнику нужно только заманить пользователя на вредоносный сайт.

Исследователь объясняет, что скрипт используется только для обращения к определенному домену на lastpass.com, и если посмотреть на его работу поближе, это выглядит так:

Здесь, как отмечает Орманди, и кроется ошибка. Скрипт проксирует неаутентифицированные оконные сообщения расширению, что может представлять опасность, ведь кто угодно может сделать следующее:

Это даст атакующему полный доступ и заставит LastPass выполнять RPC-команды, которых могут быть сотни, но опаснее всего, конечно, возможность копирования и заполнения паролей. В некоторых случаях это и вовсе может привести к выполнению произвольного кода на машине пользователя, через эксплуатацию openattach. В качестве примера Орманди демонстрирует запуск обычного калькулятора (calc.exe).

Разработчики LasPass, судя по всему, уже поправили проблему в Chrome-расширении, отключив 1min-ui-prod.service.lastpass.com. Однако некоторые пользователи отмечают , что для них сервер по-прежнему работает, и уязвимость все еще актуальна. Вероятно, пользователям LastPass для Chrome стоит пока отключить расширение и дождаться выхода полноценного исправления, так как версия 4.1.42, датированная на 14 марта 2017 года, еще была уязвима.

Стоит отметить, что на прошлой неделе Тэвис Орманди нашел еще один очень похожий баг в аддоне LastPass для Firefox. Уязвимость точно так же позволяет извлечь все пароли пользователя, если тот посетит вредоносный сайт.

Данная проблема до сих пор не исправлена. Разработчики LastPass уже подготовили патч, но исправленная версия 3.3.2 пока проходит рассмотрение специалистов Mozilla. Также авторы LastPass подчеркнули, что ветка 3.x все-таки считается устаревшей, и пользователям рекомендуется перейти на более безопасную ветку 4.x.

Но проблемы LastPass не заканчиваются даже на этом. Сегодня, 22 марта 2017 года, Тэвис Орманди предупредил, что в аддоне LastPass для Firefox содержится еще один баг, позволяющий воровать чужие пароли для любого домена. Причем на этот раз уязвима более современная и безопасная версия 4.1.35. Подробности эксперт обещает обнародовать в ближайшее время.

I found another bug in LastPass 4.1.35 (unpatched), allows stealing passwords for any domain. Full report will be on the way shortly. pic.twitter.com/9VkV7R3vud

Отвечает отдельный раздел меню. Однако далеко не для всех пользователей он удобен — без включенной синхронизации эти данные сохраняются локально, и если жесткий диск придет в негодность, возникнут неустранимые проблемы с операционной системой, сохраненные данные для авторизации несложно потерять без возможности восстановления. Кроме того, даже при включенной синхронизации пользователь привязывает себя к конкретном браузеру. Сторонние инструменты позволяют избежать всех этих неудобств, сохранив личные данные в безопасности. В частности это относится к LastPass — дополнению с проверенной репутацией и полезными функциями.

Основное предназначение этого дополнения — хранение всех паролей, которые вы вводите при авторизации на сайтах, в облаке. Благодаря этому вовсе не обязательно привязываться к одному браузеру — достаточно установить расширение на другое устройство, авторизоваться под этой же учетной записью и без труда заходить на любые сайты, пароли для которых уже были сохранены ранее. Создание своего аккаунта в ЛастПасс происходит очень просто:

1. Установите расширение из Firefox Browser Add-ons, используя поиск по сайту или ссылку ниже.
2. Подтвердите инсталляцию соответствующей кнопкой.



3. После этого вам понадобится зарегистрироваться в нем: нажмите на иконку LastPass, что появится правее адресной строки, и кликните по кнопке «Accept» .



4. Откроется новая страница в веб-обозревателе, где нужно пройти процесс регистрации. Для начала укажите действующий email. Адрес электронной почты должен быть действительно рабочим, чтобы в случае утери пароля от LastPass вы смогли восстановить его.



5. Пароль сервис требует сложный: от 12 символов, содержащий минимум по 1 строчной и 1 заглавной букве, а также хотя бы с 1 цифрой. Обязательно укажите подсказку, которая поможет восстановить ключ, если вы его забудете.



Как только аккаунт будет создан, понадобится выполнить свое первое сохранение. Это работает следующим образом: откройте сайт, пароль от учетной записи которого хотите сохранить в LastPass. Пройдите стандартную процедуру авторизации. Расширение запросит разрешение на сохранение пароля, подтвердите это кнопкой «Add» .



В качестве эксперимента выйдите из аккаунта этого сайта, и вы увидите, что даже если не запоминать пароль в самом Mozilla Firefox, данные для входа будут подставлены. При наличии нескольких учетных записей от одного сайта нажмите на кнопку в поле ввода логина или пароля и выбрать нужный вариант. Разные авторизационные данные от учетных записей станут доступны только после того, как вы поочередно залогинитесь в них.



Локальное шифрование

Особенностью работы данного расширения является то, что все шифрование, которое происходит в ЛастПасс, осуществляется локально с использованием уникального ключа, из-за чего пароли даже в зашифрованном виде не передаются на сервер компании. В этом деле задействуются технологии AES-256 и PBKDF2 SHA-256. Благодаря этому пользователь может не волноваться за ввод конфиденциальных сведений в память дополнения: узнать их посторонним лицам не получится. Дополнительно совершение каждого важного действия сопровождается требованием повторного ввода пароля — это помогает уберечь личные данные от других пользователь, которые находятся за компьютером в ваше отсутствие.

Личное хранилище

Каждому пользователю, прошедшему регистрацию, предоставляется профиль, в котором он может управлять различными функциями. Для этого нажмите по кнопке расширения и перейдите в «Open my Vault» .



Самое главное — здесь можно просматривать все сохраненные когда-либо в LastPass пароли, сортируя их и распределяя по папкам.



Для каждого пароля, если кликнуть по кнопке гаечного ключа в плитке с ним, доступна настройка нескольких дополнительных опций: просмотреть логин, пароль, добавить заметку, папку, необходимость ввода мастера-пароля перед подстановкой пароля в форму авторизации, включение автоматического входа на сайт с этими данными, отключение автозаполнения (конкретно эти логин и пароль не будут автоматически подставляться в соответствующие поля на странице входа в личный кабинет этого сайта). Даже есть возможность добавить пароль в избранное и отправить его человеку, которому доверяете, по почте.



Несмотря на название, помимо самих паролей в этом расширении разрешается хранить и некоторые другие данные. А именно: заметки, адреса/номера телефонов, платежные карты, банковские аккаунты. Таким образом, вы сможете быстро получать доступ к любой из этой конфиденциальной информации, используя компьютер, мобильное устройство или Apple Watch, где доступно приложение LastPass. То же самое касается и их: заметки, номера кредитных карт и др. могут быть без труда просмотрены, отсортированы, распределены. Все это также легко редактируется и удаляется, когда какая-то информация оказывается измененной или устаревшей.



Здесь же предлагается воспользоваться и второстепенными возможностями, на которых мы не станем останавливаться, но частично рассмотрим далее (т.к. они являются частью меню расширения), произвести некоторые базовые настройки аккаунта. Русского языка интерфейса, к сожалению, здесь нет.

Просмотр недавно использованных паролей для авторизации

Этот пункт и другие вызываются через меню, открыть которое можно кликом по иконке расширения, как мы уже сказали выше. Поэтому в дальнейшем останавливаться на этом не будем, а просто укажем названия пунктов. Сейчас речь пойдет о «Recently Used» .



Здесь появится список последних логинов и паролей, которые использовались для входа на сайты. Это, кстати, удобная вещь не только для самого владельца аккаунта, но и в целях проверки конфиденциальности. Данные отсюда стереть нельзя в отличие от истории браузера, поэтому если кто-то находился за вашим компьютером и входил без вашего ведома на сайты, заглянув в «Recently Used» вы обязательно об этом узнаете, даже если история посещений веб-обозревателя была подчищена.



Кликом по любому пункту можно как перейти на сам сайт, так и отредактировать авторизационные данные или вовсе удалить комбинацию логин/пароль из LastPass.



Просмотр персональной информации

Ранее мы уточняли, что помимо паролей в расширение заносятся заметки, номера карт и другие данные. Через пункт «All Items» вы можете не только быстро их просмотреть, но и добавить новый пункт. Это удобно, поскольку необходимость перехода в персональный кабинет отпадает. В дальнейшем всю эту информацию можно использовать для быстрой регистрации на сайтах, оплаты каких-то покупок, счетов без необходимости вводить вручную платежные сведения.



Добавление персональной информации

Эти самые личные данные можно без труда занести в расширение, перейдя через меню в раздел «Add item» . Здесь на выбор предоставляется сразу несколько тематических шаблонов, куда и вносится нужная информация. Часть из них неприменима к нашей стране, однако в целом поля актуальны для заполнения, и таким образом вы сможете внести данные о медицинской страховке, водительских правах, паспорте и т.д. Все это в дальнейшем доступно для просмотра через личный кабинет.



Генерирование сложного пароля

Расширение предлагает юзерам создавать сложные пароли, которые не смогут взломать злоумышленники. Перейдя в «Generate Secure Password» , вам предлагается выставить длину будущего ключа, указать его тип (легкий для произношения, легкий для чтения, с заглавными, строчными буквами, цифрами и символами). Если полученный результат не нравится, измените его параметры либо просто сгенерируйте заново.



Дополнительные опции аккаунта

Помимо всех этих возможностей, есть и несколько технических и второстепенных функций, которые могут показаться кому-то полезными. В разделе меню «Account Options» вы найдете следующие дополнительные параметры:






Подводя итоги, следует сказать, что LastPass — довольно функциональное расширение, не имеющее аналогов по своей пользе для всех тех, кто активно работает с сайтами в интернете. ЛастПасс не очень подходит новичкам, не желающим разбираться в его функциях и не собирающихся платить за предоставление расширенных возможностей. После регистрации вы получаете 30 дней премиум-использования в подарок, после чего за получение придется приобретать PRO-версию согласно расценкам сервиса (просмотрите список опций, которые открываются при покупке Premium — вероятно, они вам попросту не нужны). Однако и для обычного хранения паролей LastPass также успешно задействуется: используя его, вы можете с легкостью пользоваться разными браузерами и на разных устройствах, автоматически получая и управляя авторизационными данными везде, где установлено это дополнение.

Первым и самым простым вариантом является стандартный менеджер паролей Chrome, Firefox, Opera или Vivaldi. Практически все современные браузеры умеют сохранять и автоматически вставлять в нужные поля логины и пароли. Да, этот вариант не назовёшь слишком функциональным, так как здесь отсутствуют некоторые дополнительные возможности вроде генератора надёжных комбинаций и защищённых заметок. Зато пользоваться можно совершенно бесплатно, и есть синхронизация между различными устройствами, которая работает, разумеется, только в том случае, если вы везде используете один и тот же браузер.

Простота, доступность, бесплатность. Синхронизация между различными устройствами.
− Низкая функциональность и защищённость.

1Password

1Password существует уже более восьми лет, но всегда оставался в тени LastPass из-за довольно высокой стоимости. Он умеет хранить пароли, данные банковских карт, лицензии на программное обеспечение и другую конфиденциальную информацию в защищённом виртуальном хранилище. Это хранилище может располагаться на удалённом сервере или локальном устройстве. Есть возможность синхронизации через Wi-Fi, Apple iCloud или Dropbox. Особое внимание разработчики уделили защищённости и алгоритмам шифрования, благодаря чему этот сервис не был замечен в громких скандалах.

Надёжность, кросс-платформенность, функциональность, синхронизация.
− Высокая цена.

KeePass

Если вы ищете бесплатное решение и не боитесь трудностей, то обязательно попробуйте KeePass. Это полностью открытый проект, созданный независимыми разработчиками. Он обладает огромным количеством возможностей благодаря наличию целого арсенала различных дополнений, плагинов и вспомогательных утилит. Однако взамен придётся смириться с типичными недостатками свободного программного обеспечения в виде высокой сложности освоения и нестабильности некоторых элементов.

Созданная в KeePass база паролей хранится в виде одного файла, который может быть размещён на жёстком диске или в каком-либо облачном сервисе. В последнем случае можно реализовать синхронизацию данных между разными устройствами. Существуют плагины для популярных браузеров, которые с разной степенью успеха обеспечивают подстановку логинов и паролей на нужных страницах. Кроме того, KeePass можно и на мобильных устройствах.

Бесплатность, функциональность, защищённость.
− Решение для гиков, которые смогут подобрать и правильно настроить все необходимые компоненты.

Dashlane

Этот сервис хранения паролей появился сравнительно недавно, но уже успел проявить себя с положительной стороны. Dashlane отличается приятным внешним видом, хорошей функциональностью и простотой использования. База паролей здесь хранится в облаке в зашифрованном виде, имеется синхронизация между клиентами для различных платформ (Mac, PC, iOS и Android). Среди дополнительных возможностей необходимо выделить функцию автоматического заполнения форм, генератор паролей, возможность смены паролей в один клик и удобные инструменты для онлайн-шопинга. Но всё это великолепие может для вас померкнуть, если вы захотите использовать синхронизацию данных между различными устройствами. Для этого вам придётся купить годовую подписку стоимостью 39,99 доллара, что, согласитесь, немало.

Внешний вид, надёжность, кросс-платформенность, цифровой бумажник.
− Высокая стоимость, отсутствие возможности локального хранения паролей.

А какой менеджер паролей выберете вы, если LastPass всё-таки станет платным?