Upoznajte LastPass, jednu od... najbolji programi za pohranjivanje lozinki, distribuiran kao jedan instalacijski dodatak za Internet Explorer, Google Chrome, Mozilla Firefox, Opera i Apple Safari, koje je razvio LastPass. Lozinke u LastPass-u su zaštićene glavnom lozinkom, pohranjene su lokalno i mogu se sinkronizirati s bilo kojim drugim pretraživačem. LastPass takođe ima punilac obrazaca koji vam omogućava da automatizujete unos lozinki i popunjavanje obrazaca. Dodatak podržava generiranje lozinki, dijeljenje podataka, evidentiranje prijava na web lokaciju, kreiranje sigurnih bilješki i još mnogo toga. Preuzmite LastPass moguće u nastavku.

Jedna glavna lozinka (moto na stranici je “Posljednja lozinka koju treba zapamtiti!”).
Sinhronizacija pretraživača.
Generisanje jakih lozinki.
Šifrovanje lozinkom.
Online popunjavanje formulara.
Uvoz lozinki iz drugih menadžera lozinki, kao i izvoz.
Lozinke se pohranjuju u cloud servisu lastpass.com u šifriranom obliku (AES-256).
LastPass glavna lozinka je pohranjena u vašoj glavi i kada je unesete, sve lozinke se dešifriraju iz baze podataka (AES-256).
Lozinke se prenose preko sigurne (https) veze.
LastPass kreira hash vašeg korisničkog imena i lozinke, što je ključ AES algoritma.
Za autorizaciju, LastPass servis koristi dvostruki hash koji se šalje na server i predstavlja ključ za verifikaciju za autorizaciju.
Imena grupa, naloga i podaci se prenose u šifrovanom obliku, https se koristi svuda.
LastPass prikuplja lozinke koje drugi menadžeri lozinki ne vide, uključujući mnoge AJAX obrasce, i olakšava kreiranje jakih lozinki.
Možete uvoziti i izvoziti podatke iz mnogih poznatim sistemimačuvanje lozinki (kao što su: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox i Internet Explorer i mnogi drugi). Lozinke u LastPass-u su zaštićene glavnom lozinkom i pohranjene lokalno i mogu se sinkronizirati s bilo kojim drugim pretraživačem.
LastPass koristi jaku kriptografiju na strani klijenta - lozinke ostavljaju računar već šifrovanim i samo ih korisnik može dešifrovati. Čak i ako neko dobije ove podatke, šifrovani podaci su u osnovi beskorisni.
Ono što mi se najviše sviđa je to što su svi podaci pohranjeni na računaru i bezbednom servisu, periodično sinhronizovani, a pristup je dostupan sa bilo kog računara na kojem je instaliran LastPass. Osim toga, ima vrlo zgodnu funkciju za kreiranje zaštićenih bilješki i druge jednako korisne funkcije.

Skoro sve. Program sve radi sam. Ponudit će vam da sačuvate vašu prijavu i lozinku, unesete ih u polja sljedeći put kada posjetite stranicu ili se čak sami prijavite na nju (ako želite). Istovremeno, generira lozinke koje uopće ne morate pamtiti, a one će biti različite za svaki resurs. Ovo uvelike povećava sigurnost zaštićenog pristupa.
Ako želite, vaše tajne uvijek mogu biti uz vas, bez obzira gdje radite i koji računar koristite. Da biste to učinili, možete koristiti lokalnu verziju (LastPass Pocket) za fleš disk (za to je preporučljivo da prvo izvezete svoje podatke sa svog LastPass naloga u datoteku na disku, kako biste je kasnije mogli otvoriti prenosiva verzija bilo gdje, bez instaliranja glavnog programa). Sve radi bez ikakvih ograničenja po količini sačuvanih podataka, vremenu korištenja, besplatno i na ruskom jeziku. Iako postoji plaćena verzija, sa malo naprednijim funkcijama, ne govorimo o tome.
Procedura za instaliranje programa i registraciju LastPass naloga je prilično jednostavna, samo se trebate složiti sa zadanim postavkama, a instalater će vam ponuditi da onemogućite upravitelje lozinki u instalirane pretraživače zbog njihove nepouzdanosti. Kreiranje glavne lozinke je također vrlo jednostavno (ovdje će vam se dati opcije i pokazati koliko je vaša glavna lozinka otporna na hakiranje). Također preporučujemo da povremeno mijenjate svoju glavnu lozinku kako biste spriječili neovlašteni pristup vašem LastPass računu. Sam LastPass servis nema pristup vašim povjerljivim podacima, na što iskreno upozoravaju. Odnosno, ako zaboravite ili izgubite glavnu lozinku, bit će vam poslat samo upit za oporavak lozinke (a ne vaše lozinke, prijave itd.), ili ćete morati koristiti oporavak računa.
Velika prednost LastPass-a je, po mom mišljenju, ta što ako već imate postojeći LastPass nalog (i naučenu glavnu lozinku, naravno, za prijavu na svoj nalog), nemate apsolutno ničega da se plašite da ćete „pasti“ ili ponovo instalirati sistema, samo treba da ga ponovo instalirate LastPass i prijavite se na svoj nalog, tada će program raditi za vas. Podrazumijeva se da će sve vaše lozinke, web stranice, forumi, sigurne bilješke, općenito, sve što ste sačuvali biti vraćeni na novi računar. Programeri stalno ažuriraju LastPass, jačaju ga (i vašu sigurnost) i poboljšavaju program, a u pretraživačima se LastPass ekstenzije ažuriraju u pozadini bez ometanja vašeg rada.
Ovo je opis mogućnosti LastPass-a, daleko od kompletnog, nadam se da će vam se program svidjeti. Na kraju, napominjem da sam se, nakon što sam isprobao mnoge menadžere lozinki, plaćeni i besplatni, davno odlučio za LastPass zbog njegove jednostavnosti i pouzdanosti. Program se dosta često ažurira, kako na službenoj web stranici tako i na uslugama Google ekstenzije, Firefox, Opera i Safari, postoji detaljna online pomoć i video zapisi o postavljanju i korištenju programa.

Počnimo od samog početka. Zašto su nam uopće potrebni menadžeri lozinki? Svakodnevno koristimo mnoge online usluge: poštu, instant messengere, društvenim medijima, blogovi, forumi, sistemi plaćanja, upoznavanje, zabava, itd. Svaki sistem zahteva poseban nalog i lozinku.

Radi jednostavnosti, korištenje iste lozinke je krajnje nesigurno, jer ako je jedan od vaših naloga hakiran, princip domina će funkcionirati, a napadači će dobiti pristup drugim nalozima. Pamtiti mnogo različitih lozinki je u osnovi nemoguće. Postoji opcija za generisanje lozinki po nekom samo vama poznatom principu, ali to nije uvijek sigurno i zgodno.

U pomoć priskaču menadžeri lozinki - programi koji bezbedno prikupljaju i pohranjuju vaše lozinke. Vaš zadatak se svodi na to da zapamtite jednu glavnu lozinku od samog menadžera (tzv. master password). Vrlo povoljno!

Zato se u posljednje vrijeme svi lični "antivirusni kombinati" (klasni programi Internet Security i više) opremljeni su sličnim funkcijama. Ali takvi proizvodi nisu prikladni za svakoga i ne mogu ih svi priuštiti, pa je zanimljivo pogledati pobliže pristojne besplatne menadžere lozinki koji postoje.

LastPass je potpuno besplatan, personalizirani upravitelj lozinki koji je dizajniran za kreiranje, pohranjivanje i upravljanje lozinkama za različite internetske stranice. Rad sa programima koji nisu LastPass pretraživači ne, pa ćemo ga radi jasnoće dalje nazvati menadžerom lozinki zasnovanim na pretraživaču.

Pa da vidimo kakva je ovo zver. Nakon instalacije programa sa web stranice www.lastpass.com na Mozilla pretraživači Firefox i Microsoft Internet Explorer dodaju posebne dodatke i alatne trake. Odmah ću reći da web stranica proizvođača ukazuje na podršku za Google Chrome, ali u stvarnosti ne radi (barem ne radi na Windows 7 x64 i Google Chrome 5.0).

Važna karakteristika LastPass-a je da program čuva sve vaše lozinke „u oblaku“, tj. on udaljeni server dobavljač u posebnom personaliziranom trezoru. U svojoj srži, LastPass nije čak ni program, već usluga. Ovo ima svoje velike prednosti, ali i velike nedostatke.

Prednost je u tome što lozinke pohranjene u LastPass-u možete koristiti na bilo kojem računalu s pristupom Internetu. Nema potrebe razmišljati o sigurnosnom kopiranju baze podataka, izvozu i uvozu na druge računare, sinhronizaciji itd. radnje koje negiraju svu pogodnost korištenja upravitelja lozinki.

Nedostaci su, naravno, nedostatak kontrole nad udaljenim skladištem i rizik da će server ili vaš glavni nalog (master lozinka) biti hakovan, a sve lozinke će ići na veliko na crno tržište.

Važno! Prilikom registracije postavite najjaču glavnu lozinku koju ćete sigurno zapamtiti.

LastPass ima funkciju za izvoz sačuvanih lozinki iz pretraživača, što vam omogućava da izvezete sačuvane lozinke iz pretraživača nakon instalacije.

Pogledajmo sada program u akciji koristeći nekoliko primjera. Kada se prijavite za web stranicu, LastPass automatski otkriva polja lozinke (na osnovu atributa oznake ) i nudi generiranje i spremanje u vašu bazu podataka sigurnu lozinku za njega. Postoji i opcija odabira opcije lozinke fine postavke generacija (broj znakova i njihov tip).

Ako ručno unesete lozinku na web-mjesto, LastPass automatski traži od vas da sačuvate lozinku u svojoj bazi podataka. Ako je potrebno, možete odbiti spremanje lozinke, što je važno, na primjer, za internetsko bankarstvo (bolje je ne vjerovati nikome ili bilo čemu).

Kao rezultat, vaš lični LastPass trezor će izgledati otprilike ovako nakon nekog vremena. Tamo, ako je potrebno, možete napraviti bilješke o lozinkama, izvoziti ili uvoziti lozinke itd.

Kada pristupite stranici koja zahtijeva autorizaciju, a lozinka je prethodno sačuvana, upravitelj lozinki će od vas zatražiti da se prijavite ili to učinite automatski (postoji posebna opcija). Osim pogodnosti, ova funkcija pruža više. Ne morate kucati lozinke s tastature i rizik da ih zlonamjerni softver presretne je minimiziran.

LastPass podešavanja su sasvim dovoljna. Može se prilagoditi izgled programe, funkcije upozorenja i neke važne sigurnosne funkcije (pogledajte slike ispod).

Zanimljiva karakteristika LastPass-a je ugrađena revizija jačine korištenih lozinki. Prilikom generisanja lozinki, njihova snaga se prikazuje na posebnoj skali (vidi gore), ali možete brzo provjeriti snagu svih lozinki, uključujući i stare.

Rezultati analize jačine lozinke predstavljeni su kao postotak od idealnog, u mom slučaju skoro 69% - ima na čemu raditi.

Ispod su neke statistike o prosječnoj dužini lozinke, ponovljenim lozinkama, slabim lozinkama, itd. Analizu snage za svaku lozinku posebno možete vidjeti u posebnoj tabeli, ali iz očiglednih razloga je neću ovdje predstavljati :)

U zaključku mogu reći da je LastPass funkcionalnost meni lično bila dovoljna. Testiranje tokom nekoliko mjeseci nije otkrilo ništa značajne nedostatke(osim nedostatka podrške za Google Chrome). Većina mojih lozinki je povezana sa web servisima, a menadžer lozinki zasnovan na pretraživaču optimizuje rad sa njima i značajno štedi vreme. Funkcije automatske prijave na sajtove, generisanje jakih lozinki, automatsko popunjavanje obrazaca pomoću šablona, ​​izvoz/uvoz baze podataka i generalno analiza jačine svih lozinki su veoma korisne.

Još jednom želim da istaknem da se lozinke sačuvane u LastPass-u čuvaju na udaljenom serveru. Prednosti i mane ovoga sam opisao gore. Ako iz nekog razloga ne vjerujete uslugama u oblaku, trebali biste potražiti neki drugi upravitelj lozinki.

O menadžerima lozinki se raspravlja na našem forumu.

Možete vidjeti proizvod na djelu, ali s komentarima na engleskom. jezik.

Još u ljeto 2016., stručnjak za Google Project Zero Tavis Ormandy iskreno je rekao: “Da li ljudi zaista koriste ovu stvar LastPass?” Tada je Ormandy otkrio ranjivost u kodu LastPass dodatka za Firefox 0-day, što je omogućilo daljinsko kompromitiranje svih korisničkih lozinki.

Sada, skoro godinu dana kasnije, stručnjak je ponovo odlučio da testira sigurnost LastPass-a i, nažalost, ne može se reći da je aplikacija prošla ovaj test. Ormandy piše da je otkrio problem u službenom LastPass proširenju za Chrome pretraživač. Prema istraživaču, content_scrip ekstenzije sadrži ranjivost koja, ako je napadnuta, može dovesti do kompromitovanja svih vjerodajnica pohranjenih u aplikaciji. Štaviše, da bi izvršio napad, napadač treba samo da namami korisnika na zlonamernu stranicu.

Istraživač objašnjava da se skripta koristi samo za pristup određenoj domeni na lastpass.com, a ako bolje pogledate kako funkcionira, izgleda ovako:

Ovdje, kako primjećuje Ormandy, leži greška. Skripta proksije neautorizirane prozorske poruke ekstenziji, što može biti opasno jer svako može učiniti sljedeće:

Ovo će napadaču dati pun pristup i prisiliti LastPass da izvrši RPC komande, kojih može biti na stotine, ali najopasnija je, naravno, mogućnost kopiranja i popunjavanja lozinki. U nekim slučajevima to može čak dovesti do izvršenja proizvoljan kod na mašini korisnika, kroz operaciju openattach. Kao primjer, Ormandy pokazuje pokretanje običnog kalkulatora (calc.exe).

LasPass programeri su, očigledno, već riješili problem u Chrome ekstenziji tako što su onemogućili 1min-ui-prod.service.lastpass.com. Međutim, neki korisnici primjećuju da server još uvijek radi za njih, a ranjivost je i dalje relevantna. Korisnici LastPass-a za Chrome za sada bi vjerovatno trebali onemogućiti ekstenziju i pričekati da se objavi kompletna zakrpa, jer je verzija 4.1.42 od 14. marta 2017. još uvijek bila ranjiva.

Vrijedi napomenuti da je prošle sedmice Tavis Ormandy pronašao još jednu vrlo sličnu grešku u LastPass dodatku za Firefox. Ranjivost vam također omogućava da izvučete sve korisničke lozinke ako posjeti zlonamjernu stranicu.

Ovaj problem još nije riješen. LastPass programeri su već pripremili zakrpu, ali ispravljenu verziju 3.3.2 još uvijek pregledavaju Mozilla stručnjaci. Autori LastPass-a su također naglasili da se grana 3.x i dalje smatra zastarjelom, a korisnicima se preporučuje da pređu na sigurniju granu 4.x.

Ali problemi LastPass-a se tu ne završavaju. Danas, 22. marta 2017, Tavis Ormandy je upozorio da dodatak LastPass za Firefox sadrži još jednu grešku koja vam omogućava da ukradete tuđe lozinke za bilo koju domenu. Štaviše, ovaj put moderniji i sigurna verzija 4.1.35. Stručnjak obećava da će detalje objaviti u bliskoj budućnosti.

Našao sam još jednu grešku u LastPass 4.1.35 (nezakrpljena), dozvoljava krađu lozinki za bilo koju domenu. Kompletan izvještaj će biti uskoro na putu. pic.twitter.com/9VkV7R3vud

O predstojećim značajnim promjenama u sistemu Firefox dodaci. Kako bi osigurali kompatibilnost među pretraživačima, programeri Firefoxa i drugih pretraživača usvojili su zajednički API nazvan WebExtensions. Podrška zajedničkog API-ja će pomoći u smanjenju troškova razvoja na više platformi za kompanije poput naše koje moraju proizvoditi i podržavati ekstenzije za više pretraživača. Iako migracija na WebExtensions pruža niz pogodnosti za programere, pretraživače i korisnike, želimo da pripremimo LastPass korisnike za prelazak sa prethodnog dodatka za Firefox na novi.

Već više od godinu dana podržavamo dvije verzije LastPass-a za Firefox. Stabilna verzija 3.x objavljena u trgovini Firefox ekstenzije, a verzija 4.x u razvoju objavljena je na web stranici LastPass.com.

Iako je ovo stvorilo određenu zbrku za LastPass korisnike, zadržali smo "naslijeđenu" verziju kako bismo održali korisničko iskustvo poput Firefoxa koje su preferirali naši korisnici. U međuvremenu smo nastavili razvijati verziju 4.x u skladu sa promjenama koje Mozilla implementira. Ali sa nedavnim vijestima da će Mozilla u potpunosti preći na WebExtensions do kraja 2017. godine, moramo se oprostiti od LastPass verzije 3.x za Firefox.

Najnoviju verziju dodatka ćemo objaviti 31. marta 2017. Očekuje se da će najnovija verzija dodatka biti predstavljena svim korisnicima verzije 3.3.2 u roku od nekoliko dana nakon pregleda od strane Mozille. Možete ručno ažurirati Firefox dodatak sada ili pričekati automatsko ažuriranje u aprilu. Nakon ovoga, samo verzija 4.x će biti dostupna i na addons.mozilla.org i na LastPass.com. Za korisnike Firefox dodataka verzije 3.x, ovo ažuriranje donosi sva najnovija poboljšanja koja smo napravili u osnovnoj logici i performansama LastPass-a, kao i najnovijem korisničkom interfejsu. Na osnovu povratnih informacija korisnika, također preporučujemo da provjerite prikaz pločica i liste u 4.x interfejsu da vidite koji je prikaz najbolji za vas.

LastPass 3.x sučelje

LastPass 4.x sučelje

Osim implementacije promjena koje je napravila Mozilla, vjerujemo da je nova verzija našeg Firefox dodatka općenito mnogo lakša za korištenje. Znamo da promjena nije uvijek prijatna. Slušamo vaše povratne informacije i unosimo promišljene, informirane promjene dok objedinjujemo LastPass iskustvo na svim pretraživačima i platformama.

Naravno, prelazak na nova verzija Dodaci neće utjecati na vaš LastPass račun ili bilo koje podatke u vašoj pohrani. I dalje ćete imati pun pristup svom račun u bilo koje vrijeme iz bilo kojeg pretraživača i sa bilo kojeg uređaja.

Kao i uvijek, možete kontaktirati naš tim za podršku ako imate bilo kakvih pitanja ili nedoumica u vezi s ovim prijelazom.