Автор (ы) | Marvasol, Inc. (dba LastPass) |
---|---|
Разработчик (и) | LogMeIn |
Первоначальный выпуск | 22 августа 2008 г. (22 августа 2008 г.) |
Платформа | Firefox, Google Chrome, Internet Explorer 11, Safari, Opera, Android 5.0 и новее, iOS 11 и новее, Window s 7 и более поздние версии, macOS, UWP, x86 и AMD64 Linux, Maxthon |
Доступно на | английском языке и 57 других языков |
Тип | Менеджер паролей |
Лицензия | Freemium |
Веб-сайт | lastpass.com |
LastPass - это freemium менеджер паролей, хранящий зашифрованные пароли в Интернете. Стандартная версия LastPass поставляется с веб-интерфейсом, но также включает плагины для различных веб-браузеров и приложений для многих смартфонов. Он также включает поддержку букмарклетов. LogMeIn, Inc. приобрела LastPass в октябре 2015 года.
Контент пользователя в LastPass, включая пароли и секретные заметки, защищен одним мастер-паролем. Контент синхронизируется с любым устройством, на котором пользователь использует программное обеспечение LastPass или расширения приложений. Информация зашифрована с помощью AES-256 шифрования с помощью PBKDF2 SHA-256, salted хэшей и возможностью для увеличения количества итераций пароля. Шифрование и дешифрование происходит на уровне устройства.
LastPass имеет заполнитель форм, который автоматизирует ввод пароля и заполнение форм, а также поддерживает генерацию пароля, совместное использование сайта и ведение журнала сайта, а также двухфакторную аутентификацию. LastPass поддерживает двухфакторную аутентификацию с помощью различных методов, включая приложение LastPass Authenticator для мобильных телефонов, а также другие, включая YubiKey. LastPass доступен как расширение для многих веб-браузеров, включая Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge и Опера. В нем также есть приложения для смартфонов под управлением операционных систем Android, iOS или Windows Phone. Приложения имеют автономную функциональность.
В отличие от некоторых других основных менеджеров паролей, LastPass предлагает установленную пользователем подсказку пароля, позволяющую получить доступ, когда мастер-пароль отсутствует.
2 декабря 2010 года было объявлено, что LastPass приобрел Xmarks, расширение для веб-браузера, которое позволяет синхронизировать пароли между браузерами. Приобретение означало выживание Xmarks, у которого были финансовые проблемы, и, хотя эти два сервиса оставались отдельными, приобретение привело к снижению цены на платные премиальные подписки, объединяющие эти два сервиса. 30 марта 2018 г. было объявлено о закрытии службы Xmarks 1 мая 2018 г., согласно электронному письму, адресованному пользователям LastPass.
9 октября 2015 г. LogMeIn, Inc. приобрел LastPass за 110 миллионов долларов. Компания была объединена под брендом LastPass с аналогичным продуктом Meldium, который уже был приобретен LogMeIn.
3 февраля 2016 года LastPass представил новый логотип. Предыдущий логотип, на котором была изображена звездочка, стал предметом иска о товарном знаке, поданного в начале 2015 года компанией E-Trade, на логотипе которой также изображена звездочка.
16 марта 2016 года, LastPass выпустила LastPass Authenticator, бесплатное приложение двухфакторной аутентификации.
2 ноября 2016 года LastPass объявил, что бесплатные учетные записи теперь будут поддерживать синхронизацию пользовательского контента с любым устройством, что было ранее исключительно для платных аккаунтов. Ранее бесплатная учетная запись в сервисе означала, что он будет синхронизировать контент только с одним приложением.
В августе 2017 года LastPass анонсировала LastPass Families, семейный план для обмена паролями, информацией о банковском счете и другими конфиденциальными данными среди членов семьи. для годовой подписки за 48 долларов.
В марте 2009 года PC Magazine наградил LastPass пятью звездами, отметкой «Отлично» и их «Выбор редакции» для управления паролями. Новый обзор, проведенный в 2016 году после выпуска LastPass 4.0, снова принес сервису пять звезд, отметку «Отлично» и награду «Выбор редакции».
В июле 2010 года модель безопасности LastPass была широко рассмотрена и одобрена. из Стива Гибсона в его подкасте Security Now, эпизод 256. Он также вернулся к теме и как она связана с Агентством национальной безопасности в эпизоде 421 подкаста Security Now.
В октябре 2015 года, когда LogMeIn приобрела LastPass, блог основателя Джо Сигриста был заполнен комментариями пользователей с критикой LogMeIn. На веб-сайтах ZDNet, Forbes и Infoworld были опубликованы статьи, в которых упоминались протесты существующих клиентов, некоторые из которых заявили, что откажутся вести дела с LogMeIn, и высказали другие опасения по поводу репутации LogMeIn.
В 2017 Consumer В статье Дэн Гвидо, генеральный директор Trail of Bits, назвал LastPass популярным менеджером паролей (наряду с Dashlane, KeePass и 1Password ), с выбор между ними в основном зависит от личных предпочтений. В марте 2019 года Lastpass был удостоен награды за лучший продукт в области управления идентификацией во время седьмой ежегодной премии Cyber Defense Magazine InfoSec Awards.
Во вторник, 3 мая 2011 г. LastPass обнаружил аномалию во входящем сетевом трафике, а затем аналогичную аномалию в исходящем трафике. Администраторы не обнаружили ни одного из признаков классического нарушения безопасности (например, повышение прав администратора до уровня администратора), но и не смогли определить причину аномалий. Кроме того, учитывая размер аномалий, теоретически было возможно, что такие данные, как адреса электронной почты, сервер salt и хэши паролей с солью, были скопированы из базы данных LastPass. Чтобы решить эту проблему, LastPass отключил «взломанные» серверы, чтобы их можно было восстановить, и 4 мая 2011 г. попросил всех пользователей изменить свои мастер-пароли. Они сказали, что, хотя прямых доказательств того, что какая-либо информация о клиентах была скомпрометирована, нет, они предпочли проявить осторожность. Однако в результате пользовательский трафик перегрузил серверы входа в систему, и администраторы компании - учитывая, что вероятность взлома существующих паролей была незначительной - просили пользователей отложить смену паролей до дальнейшего уведомления.
В понедельник, 15 июня 2015 г., LastPass опубликовал сообщение в блоге, в котором указывалось, что команда LastPass обнаружила и остановила подозрительную активность в своей сети в предыдущую пятницу. Их расследование показало, что адреса электронной почты учетных записей LastPass, напоминания о паролях, серверные соли для пользователей и хэши аутентификации были скомпрометированы; однако зашифрованные данные пользовательского хранилища не пострадали. В блоге компании говорится: «Мы уверены, что наших мер по шифрованию достаточно для защиты подавляющего большинства пользователей. LastPass усиливает хэш аутентификации с помощью случайной соли и 100 000 раундов PBKDF2-SHA256 на стороне сервера в дополнение к раундам, выполненным клиентом. - Сторона. Это дополнительное усиление затрудняет атаку украденных хэшей со значительной скоростью ».
В июле 2016 г. в блоге, опубликованном независимой фирмой по онлайн-безопасности Detectify, метод чтения паролей в виде открытого текста для произвольных доменов из хранилища пользователя LastPass, когда этот пользователь посетил вредоносный веб-сайт. Эта уязвимость стала возможной из-за плохо написанного кода парсинга URL в расширении LastPass. Detectify не раскрывала эту уязвимость до тех пор, пока LastPass не был уведомлен в частном порядке и не смог исправить расширение своего браузера. LastPass отреагировал на публичное раскрытие информации компанией Detectify в сообщении в своем собственном блоге, в котором они сообщили о дополнительной уязвимости, обнаруженной членом группы безопасности Google и уже исправленной LastPass.
20 марта Тэвис Орманди обнаружил уязвимость в расширении LastPass для Chrome. Эксплойт применялся ко всем клиентам LastPass, включая Chrome, Firefox и Edge. Эти уязвимости были отключены 21 марта и исправлены 22 марта.
25 марта Орманди обнаружил дополнительную брешь в системе безопасности, позволяющую выполнять удаленное выполнение кода при переходе пользователя на вредоносный веб-сайт. Эта уязвимость также была исправлена.
В пятницу, 30 августа 2019 г., Тэвис Орманди сообщил об уязвимости в расширении браузера LastPass, в котором веб-сайты с вредоносный код JavaScript мог получить имя пользователя и пароль, вставленные менеджером паролей на ранее посещенном сайте. К 13 сентября 2019 года Lastpass публично объявил об уязвимости, признав, что проблема ограничена только расширениями Google Chrome и Opera; тем не менее, все платформы получили исправление уязвимости.