LastPass가 매진되었습니다. 하지만 대안이 있다

2016년 여름, Google Project Zero 전문가 Tavis Ormandy는 진심으로 "사람들이 이 LastPass를 정말로 사용합니까?"라고 말했습니다. 그런 다음 Ormandy는 모든 사용자 암호가 원격으로 손상될 수 있는 Firefox 0-day용 LastPass 애드온 코드의 취약점을 발견했습니다.

이제 거의 1년이 지난 지금, 전문가는 다시 한번 LastPass의 보안을 테스트하기로 결정했으며 불행히도 애플리케이션이 이 테스트를 통과했다고 말할 수는 없습니다. Ormandy는 공식 ​​LastPass 확장에서 문제를 발견했다고 씁니다. 크롬 브라우저. 연구원의 게시물에 따르면 확장 프로그램의 content_scrip에는 공격을 받을 경우 애플리케이션에 저장된 모든 자격 증명이 손상될 수 있는 취약점이 포함되어 있습니다. 또한 공격을 구현하기 위해 공격자는 사용자를 악성 사이트로 유인하기만 하면 됩니다.

연구원은 스크립트가 lastpass.com의 특정 도메인에 액세스할 때만 사용되며 작동 방식을 자세히 살펴보면 다음과 같다고 설명합니다.

Ormandy가 지적했듯이 여기에 오류가 있습니다. 스크립트는 인증되지 않은 창 메시지를 확장 프로그램에 프록시 처리합니다. 이는 누구나 다음을 수행할 수 있기 때문에 위험할 수 있습니다.

이것은 공격자에게 완전한 액세스 권한을 부여하고 LastPass가 RPC 명령을 실행하도록 합니다. 그 중 수백 가지가 있을 수 있지만 가장 위험한 것은 물론 암호를 복사하고 채우는 기능입니다. 어떤 경우에는 openattach를 악용하여 사용자 컴퓨터에서 임의의 코드를 실행할 수도 있습니다. 예를 들어 Ormandy는 일반 계산기(calc.exe) 실행을 보여줍니다.

LasPass 개발자는 이미 1min-ui-prod.service.lastpass.com을 비활성화하여 Chrome 확장 프로그램의 문제를 해결한 것 같습니다. 그러나 일부 사용자는 서버가 여전히 작동 중이며 취약점이 여전히 관련이 있다는 점에 주목합니다. 2017년 3월 14일자 버전 4.1.42가 여전히 취약하므로 Chrome 사용자용 LastPass는 현재 확장 기능을 비활성화하고 전체 패치가 릴리스될 때까지 기다려야 합니다.

지난 주 Tavis Ormandy는 Firefox용 LastPass 애드온에서 매우 유사한 또 다른 버그를 발견했습니다. 동일한 방식으로 취약점을 통해 사용자가 악성 사이트를 방문하면 모든 사용자의 비밀번호를 추출할 수 있습니다.

이 문제는 아직 해결되지 않았습니다. LastPass 개발자는 이미 패치를 준비했지만 수정된 버전 3.3.2는 여전히 Mozilla에서 검토 중입니다. LastPass의 작성자는 또한 3.x 분기가 여전히 사용되지 않는 것으로 간주되며 사용자는 보다 안전한 4.x 분기로 전환하는 것이 좋습니다.

그러나 LastPass의 문제는 여기서 끝나지 않습니다. 2017년 3월 22일 오늘 Tavis Ormandy는 Firefox용 LastPass 애드온에 모든 도메인에 대한 다른 사람의 비밀번호를 훔칠 수 있는 또 다른 버그가 포함되어 있다고 경고했습니다. 더욱이 이번에는 보다 현대적이고 안전한 버전 4.1.35가 취약합니다. 전문가는 가까운 시일 내에 세부 사항을 발표할 것을 약속합니다.

LastPass 4.1.35(패치되지 않음)에서 또 다른 버그를 찾았습니다. 이 버그는 모든 도메인의 비밀번호를 훔칠 수 있습니다. 전체 보고서가 곧 제공될 예정입니다. pic.twitter.com/9VkV7R3vud

하나인 LastPass를 만나보세요. 최고의 프로그램단일 플러그인 설치 프로그램으로 배포된 비밀번호 저장용 인터넷 익스플로러, 구글 크롬, 모질라 파이어 폭스, Opera 및 LastPass에서 개발한 Apple Safari. LastPass의 비밀번호는 마스터 비밀번호로 보호되고 로컬에 저장되며 다른 브라우저와 동기화할 수 있습니다. LastPass에는 또한 암호 입력 및 양식 작성을 자동화할 수 있는 양식 작성기가 있습니다. 플러그인은 비밀번호 생성, 데이터 공유, 로그인 로깅, 보안 메모 작성 등을 지원합니다. LastPass 다운로드더 낮을 수 있습니다.

하나의 마스터 비밀번호(사이트의 모토는 "당신이 기억해야 할 마지막 비밀번호입니다!"입니다).
브라우저 동기화.
강력한 암호 생성.
암호 암호화.
온라인 양식 작성기.
다른 암호 관리자에서 암호를 가져오고 내보낼 수 있습니다.
비밀번호는 다음 위치에 저장됩니다. 클라우드 서비스 lastpass.com 암호화(AES-256).
LastPass 마스터 암호는 머리에 저장되며 입력하면 데이터베이스(AES-256)에서 모든 암호가 해독됩니다.
암호는 보안(https) 연결을 통해 전송됩니다.
LastPass는 AES 알고리즘의 핵심인 사용자 이름과 비밀번호의 해시를 생성합니다.
인증을 위해 LastPass 서비스는 이중 해시를 사용합니다. 서버로 전송되는 사람은 인증 과정에서 확인 키입니다.
그룹, 계정 및 데이터의 이름은 암호화된 형태로 전송되며 모든 곳에서 https가 사용됩니다.
LastPass는 많은 AJAX 양식을 포함하여 다른 암호 관리자가 볼 수 없는 암호를 수집하고 강력한 암호를 쉽게 생성할 수 있도록 합니다.
잘 알려진 많은 암호 저장 시스템(예: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox 및 Internet Explorer 등)에서 데이터를 가져오고 내보낼 수 있습니다. LastPass의 비밀번호는 마스터 비밀번호로 보호되며 로컬에 저장되며 다른 브라우저와 동기화할 수 있습니다.
LastPass는 클라이언트 측에서 강력한 암호화를 사용합니다. 암호는 컴퓨터를 이미 암호화된 상태로 두고 사용자만 암호를 해독할 수 있습니다. 그리고 누군가 이 데이터를 얻는다 해도 암호화된 데이터는 기본적으로 쓸모가 없습니다.
내가 가장 좋아하는 것은 모든 데이터가 컴퓨터와 보안 서비스에 저장되고 주기적으로 동기화되며 LastPass가 설치된 모든 컴퓨터에서 액세스할 수 있다는 것입니다. 또한 보안 메모 및 기타 동등하게 유용한 기능을 작성하는 데 매우 편리한 기능이 있습니다.

거의 모든 것. 프로그램은 모든 것을 스스로 수행합니다. 로그인을 저장하도록 제안합니다 - 암호, 다음에 페이지를 방문할 때 필드에 입력하거나 원하는 경우 직접 입력할 수도 있습니다. 동시에 절대 기억할 필요가 없는 비밀번호를 생성하며 리소스마다 비밀번호가 다릅니다. 이렇게 하면 보호된 액세스의 보안이 여러 번 향상됩니다.
원하는 경우 작업 장소와 사용하는 컴퓨터에 관계없이 비밀을 항상 함께할 수 있습니다. 이렇게 하려면 플래시 드라이브용 로컬 버전(LastPass Pocket)을 사용할 수 있습니다(이를 위해서는 먼저 LastPass 계정에서 디스크의 파일로 데이터를 내보내고 나중에 휴대용 장치로 열 수 있도록 하는 것이 좋습니다. 메인 프로그램을 설치하지 않고 어디서나 버전). 모든 것이 저장된 데이터의 양, 사용 시간, 무료 및 러시아어에 대한 제한 없이 작동합니다. 약간 더 고급 기능이 포함된 유료 버전이 있지만 그것에 대해 이야기하고 있지는 않습니다.
프로그램을 설치하고 LastPass 계정을 등록하는 절차는 매우 간단합니다. 기본 설정에 동의하기만 하면 됩니다. 설치 프로그램은 설치된 브라우저그들의 비신뢰성 때문입니다. 마스터 암호를 만드는 것도 매우 쉽습니다(여기에 옵션이 표시되고 마스터 암호가 해킹에 얼마나 강한지 표시됩니다). 또한 개발자는 LastPass 계정에 대한 무단 액세스를 방지하기 위해 마스터 암호를 주기적으로 변경할 것을 권장합니다. LastPass 서비스 자체는 정직하게 경고하는 귀하의 기밀 데이터에 액세스할 수 없습니다. 즉, 마스터 비밀번호를 잊어버리거나 분실한 경우 비밀번호 재설정을 위한 힌트만 보내거나(비밀번호, 로그인 등이 아님) 계정 복구를 사용해야 합니다.
내 생각에 LastPass의 큰 장점은 이미 기존 LastPass 계정이 있는 경우(물론 계정을 입력하기 위해 마스터 암호를 배웠다면) "떨어지는" 것을 두려워할 필요가 전혀 없고 /또는 시스템을 다시 설치하는 경우 LastPass를 다시 설치하고 계정에 로그인하기만 하면 프로그램이 작동합니다. 모든 비밀번호, 웹사이트, 포럼, 보안 메모, 일반적으로 저장한 모든 것이 새 컴퓨터에서 복원된다는 것은 말할 필요도 없습니다. 개발자들은 경계를 늦추지 않고 지속적으로 LastPass를 업데이트하고, 이를(및 귀하의 보안) 강화하며 프로그램을 개선하고 있으며, 브라우저에서 LastPass 확장은 다음에서 업데이트됩니다. 배경일에 지장을 주지 않고.
LastPass의 기능에 대한 이러한 설명은 완전하지 않은 것으로 밝혀졌습니다. 프로그램을 즐기시기 바랍니다. 결국, 나는 유료 및 무료 많은 암호 관리자를 시도한 후 단순성과 안정성 때문에 오래 전에 LastPass를 선택했다는 점에 주목합니다. 이 프로그램은 공식 웹사이트와 서비스 모두에서 꽤 자주 업데이트됩니다. 구글 확장, Firefox, Opera 및 Safari에는 프로그램 설정 및 사용에 대한 자세한 온라인 도움말과 비디오가 있습니다.

개발자: 조 시그리스트
특허: 프리웨어
언어: 멀티 + 러시아어
크기: 59MB
OS: 윈도우
다운로드:

Firefox 애드온 시스템에 대한 향후 주요 변경 사항에 대해. 브라우저 간 호환성을 보장하기 위해 Firefox 및 기타 브라우저 개발자는 WebExtensions 라는 공통 API를 채택했습니다. 공통 API에 대한 지원은 여러 브라우저에 대한 확장을 출시하고 유지 관리해야 하는 우리와 같은 회사의 플랫폼 간 개발 비용을 줄여줍니다. WebExtensions로의 마이그레이션은 개발자, 브라우저 및 사용자에게 많은 이점을 제공하지만 LastPass 사용자가 이전 Firefox 애드온에서 새 애드온으로 마이그레이션할 수 있도록 준비하고 싶습니다.

우리는 1년 넘게 Firefox용 LastPass의 두 가지 버전을 지원하고 있습니다. 스토어에 공개된 안정 버전 3.x 파이어폭스 확장, 그리고 개발 중인 버전 4.x는 LastPass.com 웹사이트에 게시됩니다.

이로 인해 LastPass 사용자에게 약간의 혼란이 발생했지만 사용자가 선호하는 Firefox와 유사한 사용자 인터페이스를 유지하기 위해 "이전" 버전을 유지했습니다. 그 동안 Mozilla가 구현하는 변경 사항에 따라 버전 4.x를 계속 개발했습니다. 그러나 Mozilla가 2017년 말까지 전체 WebExtensions로 이동할 것이라는 최근 뉴스에 비추어 볼 때 Firefox용 LastPass 버전 3.x와 작별을 고해야 합니다.

2017년 3월 31일에 최신 버전의 추가 기능을 출시할 예정입니다. 최신 버전의 추가 기능은 Mozilla의 검토 후 며칠 이내에 버전 3.3.2의 모든 사용자에게 배포될 예정입니다. 지금 Firefox 추가 기능을 수동으로 업데이트하거나 기다릴 수 있습니다. 자동 업데이트 4월에. 그 후에는 addons.mozilla.org와 LastPass.com에서 버전 4.x만 사용할 수 있습니다. Firefox 애드온 버전 3.x 사용자의 경우 이 업데이트는 우리가 구현한 모든 최신 LastPass 핵심 로직 및 성능 개선은 물론 완전히 새로운 사용자 인터페이스를 제공합니다. 사용자 피드백에 따라 4.x 인터페이스에서 타일 및 목록 보기를 확인하여 가장 적합한 보기를 찾는 것이 좋습니다.

LastPass 3.x 인터페이스

LastPass 4.x 인터페이스

Mozilla의 변경 사항을 구현하는 것 외에도 Firefox 추가 기능의 새 버전이 전반적으로 훨씬 더 사용자 친화적이라고 생각합니다. 우리는 변화가 항상 즐거운 것은 아니라는 것을 알고 있습니다. 우리는 모든 브라우저와 플랫폼에서 LastPass 경험을 통합하는 동안 귀하의 피드백을 듣고 사려 깊고 정보에 입각한 변경을 하고 있습니다.

물론 로의 전환은 새로운 버전추가 기능은 LastPass 계정이나 볼트의 데이터에 어떤 식으로든 영향을 미치지 않습니다. 모든 브라우저와 장치에서 언제든지 계정에 대한 전체 액세스 권한이 있습니다.

항상 그렇듯이 전환과 관련하여 질문이나 우려 사항이 있는 경우 지원 팀에 문의할 수 있습니다.

처음부터 시작합시다. 어쨌든 암호 관리자는 무엇입니까? 우리는 매일 많은 온라인 서비스를 사용합니다: 메일, 인스턴트 메신저, 소셜 미디어, 블로그, 포럼, 결제 시스템, 데이트, 엔터테인먼트 등 각 시스템에는 별도의 계정과 고유한 암호가 필요합니다.

단순화를 위해 동일한 암호를 사용하는 것은 매우 안전하지 않습니다. 계정 중 하나가 해킹당하면 도미노 원칙이 작동하고 공격자가 다른 계정에 액세스할 수 있기 때문입니다. 원칙적으로 많은 다른 암호를 기억하는 것은 비현실적입니다. 본인만 알고 있는 원칙에 따라 비밀번호를 생성하는 옵션이 있지만 이것이 항상 안전하고 편리한 것은 아닙니다.

암호 관리자는 암호를 안전하게 수집하고 저장하는 프로그램을 구출합니다. 귀하의 작업은 관리자 자체에서 하나의 마스터 암호(소위 마스터 암호)만 기억하는 것입니다. 아주 편안하게!

그래서 최근 모든 개인용 "바이러스 백신 결합"(수업 프로그램 인터넷 보안이상) 유사한 기능이 제공됩니다. 그러나 그러한 제품은 모든 사람에게 적합하지 않고 모든 사람이 감당할 수 있는 것은 아니므로 괜찮은 제품을 보는 것이 흥미로울 것입니다. 무료 관리자존재하는 암호.

LastPass는 다양한 인터넷 사이트의 비밀번호를 생성, 저장 및 관리하도록 설계된 완전 무료 개인 비밀번호 관리자입니다. LastPass는 브라우저 이외의 프로그램으로 작업하는 방법을 알지 못하므로 명확성을 위해 브라우저 기반 암호 관리자라고 합니다.

그럼 어떤 동물인지 알아볼까요? www.lastpass.com에서 프로그램을 설치한 후 모질라 브라우저 Firefox와 Microsoft Internet Explorer는 특별한 플러그인과 도구 모음을 추가하고 있습니다. 제조업체의 웹 사이트가 Google Chrome에 대한 지원을 표시한다고 즉시 말해야 하지만 실제로는 그렇지 않습니다(에 따르면 적어도, Windows 7 x64 및 Google Chrome 5.0에서는 작동하지 않음).

LastPass의 중요한 기능은 프로그램이 모든 비밀번호를 "클라우드에" 저장한다는 것입니다. 특별한 개인화된 Vault 저장소에 있는 공급업체의 원격 서버에 있습니다. 본질적으로 LastPass는 프로그램이 아니라 서비스입니다. 그것은 큰 장점과 큰 단점이 있습니다.

장점은 인터넷에 액세스할 수 있는 모든 컴퓨터에서 LastPass에 저장된 암호를 사용할 수 있다는 것입니다. 데이터베이스 백업, 다른 컴퓨터로 내보내기 및 가져오기, 동기화 등에 대해 생각할 필요가 없습니다. 암호 관리자를 사용하는 모든 편의를 무효화하는 행동.

물론 단점은 원격 스토리지에 대한 제어가 부족하고 서버 또는 메인 계정(마스터 비밀번호)가 크랙되어 대량의 비밀번호는 모두 암시장으로 이동합니다.

중요한! 등록할 때 기억할 수 있는 가장 강력한 마스터 비밀번호를 설정하십시오.

LastPass에는 브라우저에서 저장된 비밀번호를 내보내는 기능이 있어 설치 후 브라우저에서 저장된 비밀번호를 내보낼 수 있습니다.

몇 가지 예를 들어 프로그램이 실제로 작동하는지 살펴보겠습니다. 웹사이트에 등록할 때 LastPass는 자동으로 비밀번호 필드를 감지합니다(태그 속성에서 ) 및 데이터베이스에 생성 및 저장 제안 안전한 비밀번호그를 위해. 암호 옵션을 선택하고 생성(문자 수 및 유형)을 미세 조정하는 옵션이 있습니다.

사이트에 수동으로 비밀번호를 입력하면 LastPass가 자동으로 비밀번호를 데이터베이스에 저장하라는 메시지를 표시합니다. 필요한 경우 예를 들어 인터넷 뱅킹과 관련된 비밀번호 저장을 거부할 수 있습니다(이 비밀번호는 누구에게나 신뢰하지 않는 것이 좋습니다).

결과적으로 얼마 후 개인 LastPass 볼트는 다음과 같이 보일 것입니다. 필요한 경우 같은 장소에서 비밀번호에 대한 메모를 작성하고 비밀번호를 내보내거나 가져올 수 있습니다.

인증이 필요한 사이트에 들어가면 이전에 비밀번호가 저장된 비밀번호 관리자가 자동으로 로그인하거나 로그인하도록 제안합니다( 특별한 옵션). 이 기회는 편리함 그 이상을 제공합니다. 키보드에서 암호를 입력하지 않으며 맬웨어가 암호를 가로챌 위험이 최소화됩니다.

LastPass 설정으로 충분합니다. 프로그램의 모양, 경고 기능 및 몇 가지 중요한 보안 기능을 사용자 지정할 수 있습니다(아래 그림 참조).

LastPass의 흥미로운 기능은 사용된 암호의 강도에 대한 내장 감사 기능입니다. 비밀번호를 생성할 때 비밀번호의 강도는 특별한 척도로 표시되지만(위 참조), 이전 비밀번호를 포함하여 모든 비밀번호의 강도를 빠르게 확인할 수 있습니다.

비밀번호 강도 분석의 결과는 이상적인 비율의 %로 제공되며, 제 경우에는 거의 69%로 나타났습니다. 해결해야 할 사항이 있습니다.

다음은 평균 암호 길이, 반복되는 암호, 약한 암호 등에 대한 몇 가지 통계입니다. 각 비밀번호에 대한 강도 분석은 특수 테이블에서 별도로 볼 수 있지만 명백한 이유로 여기에서는 제공하지 않겠습니다. :)

결론적으로 제 개인적으로는 LastPass의 기능으로 충분하다고 말할 수 있습니다. 몇 개월 동안 테스트한 결과 심각한 단점이 드러나지 않았습니다(Google 크롬에 대한 지원 부족 제외). 내 비밀번호는 대부분 웹 서비스와 관련되어 있으며 브라우저 기반 비밀번호 관리자는 웹 서비스 작업을 최적화하고 많은 시간을 절약합니다. 사이트 자동 로그인, 강력한 비밀번호 생성, 템플릿에 따른 양식 자동 완성, 데이터베이스 내보내기/가져오기 및 모든 비밀번호의 강도 분석 기능은 일반적으로 매우 유용합니다.

다시 한번, LastPass에 저장된 비밀번호가 원격 서버에 저장된다는 사실에 주의를 기울이고 싶습니다. 이것의 장단점은 위에서 설명했습니다. 어떤 이유로 "클라우드 서비스"를 신뢰하지 않는다면 다른 암호 관리자를 찾아야 합니다.

암호 관리자는 포럼에서 논의됩니다.

영어로 된 설명과 함께 작동하는 제품을 볼 수 있습니다. 언어.

첫 번째이자 가장 쉬운 옵션은 표준 Chrome, Firefox, Opera 또는 Vivaldi 비밀번호 관리자입니다. 거의 모든 최신 브라우저로그인 및 비밀번호를 저장하고 필수 필드에 자동으로 삽입할 수 있습니다. 예, 이 옵션은 신뢰할 수 있는 조합 생성기 및 보안 메모와 같은 몇 가지 추가 기능이 없기 때문에 매우 기능적이라고 할 수 없습니다. 그러나 완전히 무료로 사용할 수 있으며 다양한 장치, 물론 모든 곳에서 동일한 브라우저를 사용하는 경우에만 작동합니다.

단순성, 접근성, 무료. 다른 장치 간의 동기화.
− 낮은 기능 및 보안.

1비밀번호

1Password는 출시된 지 8년이 넘었지만 다소 높은 비용으로 인해 항상 LastPass에 가려져 왔습니다. 그것은 암호, 데이터를 저장할 수 있습니다 은행 카드, 소프트웨어 라이선스 및 기타 기밀 정보를 안전한 가상 스토리지. 이 저장소는 원격 서버나 로컬 장치에 있을 수 있습니다. Wi-Fi, Apple iCloud 또는 Dropbox를 통해 동기화할 수 있습니다. 개발자들은 보안 및 암호화 알고리즘에 각별한 주의를 기울였기 때문에 이 서비스는 세간의 이목을 끄는 스캔들에서 볼 수 없었습니다.

안정성, 크로스 플랫폼, 기능, 동기화.
- 높은 가격.

키패스

무료 솔루션을 찾고 있고 어려움을 두려워하지 않는다면 반드시 KeePass를 시도해야 합니다. 이것은 독립 개발자가 만든 완전히 오픈 소스 프로젝트입니다. 다양한 추가 기능, 플러그인 및 보조 유틸리티의 전체 무기고가 있기 때문에 수많은 가능성이 있습니다. 그러나 그 대가로 무료의 일반적인 단점을 인정해야 합니다. 소프트웨어개발의 높은 복잡성과 일부 요소의 불안정성의 형태로.

KeePass에서 생성된 비밀번호 데이터베이스는 단일 파일로 저장되며, 이는 하드 드라이브 또는 일부 클라우드 서비스에 배치할 수 있습니다. 후자의 경우 데이터 동기화를 구현할 수 있습니다. 다른 장치. 다양한 성공 수준으로 필요한 페이지에서 로그인 및 비밀번호 대체를 제공하는 인기 있는 브라우저용 플러그인이 있습니다. 또한 KeePass는 모바일 장치에서도 사용할 수 있습니다.

무료, 기능, 보안.
− 필요한 모든 구성 요소를 선택하고 적절하게 구성할 수 있는 괴짜를 위한 솔루션입니다.

대시레인

이 암호 저장 서비스는 비교적 최근에 등장했지만 이미 긍정적인 측면에서 스스로를 증명했습니다. Dashlane은 다릅니다. 모습, 좋은 기능과 사용 용이성. 암호 데이터베이스는 암호화된 형태로 클라우드에 저장되며 다양한 플랫폼(Mac, PC, iOS 및 Android)의 클라이언트 간에 동기화됩니다. 추가 기능 중에는 자동으로 양식을 작성하는 기능, 암호 생성기, 한 번의 클릭으로 암호를 변경하는 기능, 온라인 쇼핑을 위한 편리한 도구를 강조해야 합니다. 그러나 다른 장치 간에 데이터 동기화를 사용하려는 경우 이 모든 화려함이 사라질 수 있습니다. 이렇게 하려면 $39.99에 연간 구독을 구입해야 합니다.

외관, 신뢰성, 크로스 플랫폼, 디지털 지갑.
− 높은 비용, 암호의 로컬 저장 가능성 없음.

그리고 LastPass가 유료화된다면 어떤 비밀번호 관리자를 선택하시겠습니까?