Как пользоваться LastPass – менеджером паролей для браузера ПК и мобильных устройств

Lastpass (на русском — Ластпасс) — менеджер логинов и паролей. Поставляется в виде аддонов для популярных браузеров (Яндекс, Mozilla, Internet Explorer и др.). В значимой степени снижает риск потери учётных данных, ускоряет процедуру авторизации, заполнение различных форм (в том числе и платёжных) на веб-сайтах. Оснащён встроенным генератором паролей (может автоматически создавать сложный символьный ключ для входа).

Логины и пароли, сохранённые в LastPass, помещаются в «облако» и шифруются при помощи устойчивого к взлому алгоритма AES-256. Они могут быть синхронизированы между устройствами пользователя (например, офисным и домашним компьютером) вне зависимости от того, в каком браузере установлен аддон (например, LastPass для Firefox).

В функционал менеджера паролей входит:

• настройка доступа к базе данных по предоставлению мастер-пароля (главного);
• синхронизация между установленными веб-обозревателями (записи учёток можно переносить);
• генерация паролей непосредственно в интерфейсе приложения (встроенный символьный генератор);
• мощное шифрование сохранённой информации;
• опция для импорта и экспорта записей;
• поддержка двухуровневой аутентификации;
• взаимодействие с сервисом Google Authenticator;
• синхронизация с мобильными устройствами.

Создание защищённых заметок

В хранилище LastPass можно держать не только пароли, но и заметки. Они будут надёжно зашифрованы, и никто не получит к ним доступа, не зная вашего мастер-пароля. Использовать их можно, чтобы записывать, например, ответы на секретные вопросы для восстановления пароля. Ну или вообще любой текст.

Чтобы создать заметку, щёлкните по значку расширения LastPass на панели браузера и нажмите Add item → Secure note. В открывшемся окне введите имя и текст, который хотите сберечь от посторонних.

Выберите папку, куда следует сохранить заметку, и нажмите «Сохранить». В разделе «Расширенные настройки» также можно активировать повторный запрос мастер-пароля при открытии заметки.

В мобильном клиенте LastPass заметки создаются так: коснитесь значка + в нижнем правом углу, выберите Secure note, введите имя и текст заметки, затем нажмите Save.

Заметки также можно сортировать по папкам. А получить доступ к ним можно через расширение браузера, щёлкнув All items → Notes, или через мобильное приложение, открыв боковую панель и выбрав Secure notes.

Количество заметок не ограничено, но разработчики LastPass говорят, что расширение начинает тормозить, если создать больше 2 000 записей.

LastPass отдавал пароли из Chrome/FF/Edge и допускал удалённое исполнение кода

Выбор парольного менеджера — непростая задача. Если не считать «Блокнот» с шифрованием текстового файла, то в этой области нет явного лидера. Фундаментальный вопрос: безопасно ли использовать облачные сервисы или принципиально хранить пароли только локально? Кто-то считает, что использование облачных сервисов всё-таки повышает риски. И вот поступил очередной аргумент в этом споре. Только что парольный менеджер LastPass закрыл три уязвимости (одна для расширения под Chrome, две для расширения под Firefox), которые позволяли вредоносному сайту прямо извлекать пароли LastPass. Как обычно, причина уязвимости — ошибка программистов.

Какой же парольный менеджер теперь лучше? Может, вернуться всё-таки к «Блокноту»? В корпоративном блоге LastPass сообщается, что об уязвимостях им сообщил специалист по безопасности Тэвис Орманди (удивительно, что львиную долю всех багов в популярном софте находят одни и те же люди) из хакерской команды Google Project Zero.

LastPass говорит, что не заметила кражи паролей пользователей и советует обновиться на последние версии расширения, где эта уязвимость закрыта, если они ещё не обновились автоматически:

• Firefox: 4.1.36
• Chrome: 4.1.43
• Edge: 4.1.30
• Opera: 4.1.28

Предположим, что кражи паролей действительно не произошло. Но как конкретно злоумышленники могли произвести такую кражу?
Первая уязвимость (Firefox 3.3.2 message-hijacking) для старой ветки расширения под Firefox эксплуатирует схему парсинга URL в 3.3.2, которая позволяла вредоносному веб-сайту выдать себя за легитимный сайт и тем самым вынудить LastPass предоставить учётные данные. Информация об этом баге поступила в LastPass в прошлом году — в июле уязвимость была закрыта, но только для новой ветки 4.X, и её просто забыли перенести в ветку 3.Х.

В прошлом году специалист по безопасности Матиас Карлссон (Mathias Karlsson) подробно рассказывал об этом позорном баге с URL-парсером в LastPass.

Вот как выглядел парсер (функция lpParseUri в расширении LastPass):

var fixedURL = URL.match(/^(.*://[^/]+/.*)@/); fixedURL && (url = url.substring(0, fixedURL[1].length) + url.substring(fixedURL[1].length).replace(/@/g, «%40»)); Такое обращение с «собачками» означает, что URL типа https://avlidienbrunn.se/@twitter.com/@hehe.php браузер воспринимал как адрес на домене avlidienbrunn.se, а расширение LastPass воспринимало как адрес twitter.com/@hehe.php. Соответственно, функция автозаполнения передавала домену avlidienbrunn.se пароль для домена twitter.com.

Эту уязвимость закрыли год назад в актуальной ветке LastPass, все посмеялись и забыли. Сейчас оказалось, что в ветке 3.Х баг ещё остался. Разработчики LastPass объясняют, что ту ветку формально закрыли ещё в апреле, то есть её поддержкой никто не занимался. И если до сих пор остались пользователи старых версий, то им настоятельно рекомендуется перейти на 4.1.36.

Вторая уязвимость, которую LastPass закрыла вчера, уже свеженькая. И она затрагивает не только версии для Firefox, но и версии под Chrome и Edge. Как и прошлый баг, здесь вредоносный сайт может выдать себя за доверенный и выудить пароль. Более того, в случае использования бинарного компонента LastPass было возможно даже удалённое исполнение кода, что совершенно недопустимо.

В сообщении баг-трекера Chromium Тэвис Орманди объяснил, что проблема в скрипте websiteConnector.js, который используется только на домене 1min-ui-prod.service.lastpass.com. Вот он указан в манифесте:

{ «matches»: [ «https://1min-ui-prod.service.lastpass.com/*» ], «js»: [ «1minsignup/chrome/websiteConnector.js» ], «all_frames»: true, «run_at»: «document_end» }, Содержимое скрипта: $ uglifyjs —beautify < 1minsignup/chrome/websiteConnector.js … window.addEventListener(«message», function(e) { e.data.fromExtension || chrome.runtime.sendMessage(e.data, function(e) {}); }); Передача неаутентифицированных объектов window в расширение из скрипта websiteConnector.js позволяет кому угодно использовать эту функцию: win = window.open(«https://1min-ui-prod.service.lastpass.com/»); win.postMessage({}, «*»); И получить доступ ко всем внутренним командам LastPass RPC. Там сотни вызовов, в том числе передача паролей. При использовании бинарного компонента LastPass можно даже запустить произвольный код: win = window.open(«https://1min-ui-prod.service.lastpass.com/»); win.postMessage({fromExtension: false, cmd: «openattach», attachkey: «d44479a4ce97554c24399f651ca76899179dec81c854b38ef2389c3185ae8eec», data: «!8uK7g5j8Eq08Nr86mhmMxw==|1dSN0jXZSQ51V1ww9rk4DQ==», mimetype: «other:.bat»}, «*»);

Закрытый баг в расширении для Chrome совпадает с одним из закрытых багов в расширении для Firefox, только там понадобилось внести некоторые дополнения.

Как говорил Матиас Карлссон в прошлом году, нахождение таких уязвимостей — не повод отказаться от парольных менеджеров.

Кстати, Microsoft ещё не одобрила у себя новую версию расширения для Edge. Похоже, что пользователей LastPass на этом браузере всё ещё можно эксплуатировать.

Хранение личных данных

У LastPass есть множество шаблонов для заметок. Универсальный представляет собой пустое поле, куда можно вводить произвольные данные.

А вот специализированный шаблон предусмотрен для хранения паспортных данных, адресов проживания, сведений о платёжных картах и банковских счетах, паролей Wi-Fi, лицензий на ПО и прочего подобного добра.

Таким образом можно не только держать в сохранности важные данные, но и автоматически подставлять их в регистрационные формы на разных сайтах.

Менеджер паролей Lastpass

Всем привет! В последнее время большинство пользователей ПК довольно много посещают разных сайтов, сервисов, социальных сетей и прочее. Во многие данные сервисы мы вносим свои пароли от личных страниц. Запомнить все эти пароли довольно сложно.

Некоторые пользователи придумали простой способ. Во все данные сервисы создавать один пароль. Но это довольно глупо. Если злоумышленник или вредоносная программа узнает данных пароль, она сможет без труда зайти на эти ресурсы от вашего имени и произвести там любые изменения, какие пожелает.

Хранение вложений

Помимо текстовых сведений, LastPass позволяет хранить и вложения. К примеру, можно сфотографировать своё удостоверение или какой-нибудь другой документ и прикрепить его к заметке в программе. Либо держать в виде защищённого вложения архив с файлами-ключами.

Для этого, когда создаёте любую защищённую заметку через расширение браузера, нажмите кнопку «Добавить вложение» в окне редактирования. На смартфоне нужно нажать кнопку Attachment внизу экрана.

LastPass позволяет прикреплять файлы любого типа, но размером не больше 10 МБ. Бесплатная учётная запись ограничена объёмом хранилища в 50 МБ, премиум-пользователи получают 1 ГБ.

Сохранение закладок

LastPass можно использовать для хранения секретных закладок, которые не будут видны в списке адресов браузера. Получить к ним доступ можно только после ввода мастер-пароля.

Для этого щёлкните по значку расширения и нажмите Add item → Password, как делаете обычно при создании любой записи пароля LastPass. Введите URL нужного сайта, имя закладки, папку, где её хранить, и, при необходимости, комментарий. Если вход на сайт не требуется, имя пользователя и пароль можно не вводить.

При помощи LastPass вы сможете легко получать доступ к сайту через расширение или мобильное приложение. А закладки, как и все прочие данные в программе, будут синхронизироваться между вашими устройствами.

установка и настройка расширения LastPass Password

Переходим на страничку LastPass Password Manager и устанавливаем приложение…

ссылка: скачать LastPass

//addons.mozilla.org/ru/firefox/addon/lastpass-password-manager/

Я рассказываю на примере Фаерфокс… хотя, настройки описанные в статье замечательно подойдут ко всем браузерам.

Скопируйте имя LastPass приложения и введите в соответствующее окно поиска дополнений… в любом ином браузере…

Итак: на страничке расширения (скрин ниже) кликаем — добавить в Firefox…

Через мгновение расширение будет установлено в любимом браузере… Где-нить в правом верхнем местечке окна браузера появится иконка приложения LastPass.

Если кликнуть по иконке, то всплывёт окно авторизации, и коли у вас уже есть учётка в системе LastPass, то нужно просто войти.

А если мы впервые пробуем менеджер паролей, то необходимо создать свою учётную запись — страничку, где и откроется масса возможностей, настроек…

В этом же окошке «иконке», в самом низу, кликаем «создать учётную запись»…

вернуться к оглавлению

Автозаполнение форм

LastPass умеет не только вводить за вас логины и пароли. Он также может заполнять формы регистрации на различных сайтах. Позволив расширению автоматически вводить имя, фамилию, адрес, номер телефона, номера кредитных карт и другие личные данные, вы существенно сэкономите время.

Создайте новую запись в LastPass, нажав Add item → Address. В открывшемся окне введите те сведения о себе, которые хотите заполнять автоматически. Сохраните запись.

Когда вы откроете любой сайт, на котором присутствуют поля для регистрации, просто нажмите на появившуюся в поле иконку. LastPass автоматически выберет, какие данные вводить, и заполнит формы за вас.

LastPass практическое использование.

Чтобы было понятно, рассмотрим практическое использование программы LastPass. Включаем компьютер, открываем браузер, нажимаем значок LastPass, вводим пароль от аккаунта LastPass. Заходим на нужный сайт. Если установлена автоматическая авторизация, то мы сразу попадаем на сайт авторизованными.

Если используется ручная авторизация, то достаточно трех кликов мышки описанных выше. LastPass является интеллектуальной программой и выдает подсказки. Например, при регистрации аккаунта она предлагает сохранить введенные данные.

То есть, для сохранения URL сайта, логина, пароля и т.д. достаточно согласиться нажав кнопку “Сохранить сайт”. Так же сохранять данные можно самостоятельно, ведь к моменту установки LastPass у нас уже присутствует много зарегистрированных аккаунтов на различных сайтах …

Экстренный доступ

Эта функция позволяет предоставить вашей семье или друзьям разрешение пользоваться вашими паролями, банковскими кодами и другими данными в экстренной ситуации. Если вы вдруг окажетесь в больнице или будете недоступны по каким-то другим причинам, пользователь, которого вы назначите своим доверенным лицом, сможет войти в ваше хранилище LastPass.

Однако для этого вам нужен премиум-аккаунт. У доверенного лица тоже должна иметься учётная запись LastPass, но сгодится и бесплатная.

Чтобы включить функцию, нажмите на значок «Экстренный доступ» в хранилище LastPass в левом нижнем углу экрана. Щёлкните + и выберите, кому предоставлять доступ.

Если вашему родственнику или другу понадобятся ваши данные в LastPass, он может отправить запрос на вход. На вашу почту будет отправлено специальное письмо. Если вы не отклоните запрос в течение некоторого времени, доступ будет предоставлен.

Как обезопасить пароли менеджер паролей

Можно использовать одну из программ менеджеров паролей. Это тоже хороший способ. Данные ПО делают специальные базы с информацией, содержащие зашифрованные личные данные, создавая криптоконтейнер. Для получения к нему доступа, необходима программа, создавшая его и разумеется пароль от него.

Также, подобные программы умеют создавать сложные пароли и имеют функцию автозаполнения форм. Недостатком менеджера паролей является большая стоимость программы и не стоит забывать, что после переустановки системы, данный софт исчезнет. Но, я нашел бесплатный менеджер паролей, работающий в онлайн режиме, который, на мой взгляд, на данный момент является лучшим.