Đường chuyền cuối cùng cho lũ khốn. Các lỗi nghiêm trọng đã được xác định trong trình quản lý mật khẩu LastPass, các tiện ích mở rộng dành cho Chrome và Firefox. Thêm thông tin cá nhân
Trở lại mùa hè năm 2016, chuyên gia Tavis Ormandy của Google Project Zero đã chân thành nói: “Mọi người có thực sự sử dụng thứ LastPass này không?” Sau đó, Ormandy phát hiện ra một lỗ hổng trong mã của tiện ích bổ sung LastPass dành cho Firefox 0-day, khiến nó có thể xâm phạm từ xa tất cả mật khẩu của người dùng.
Bây giờ, gần một năm sau, chuyên gia lại quyết định kiểm tra tính bảo mật của LastPass, và thật không may, không thể nói rằng ứng dụng đã vượt qua bài kiểm tra này. Ormandy viết rằng ông đã phát hiện ra sự cố trong tiện ích mở rộng LastPass chính thức dành cho trình duyệt Chrome. Theo nhà nghiên cứu, content_srip của tiện ích mở rộng chứa một lỗ hổng mà nếu bị tấn công có thể dẫn đến xâm phạm tất cả thông tin xác thực được lưu trữ trong ứng dụng. Hơn nữa, để thực hiện một cuộc tấn công, kẻ tấn công chỉ cần dụ người dùng đến một trang web độc hại.
Nhà nghiên cứu giải thích rằng tập lệnh chỉ được sử dụng để truy cập một tên miền cụ thể trên Lastpass.com và nếu bạn xem xét kỹ hơn cách thức hoạt động của nó, nó trông như thế này:
Ở đây, như Ormandy lưu ý, có sai sót. Tập lệnh ủy quyền các thông báo cửa sổ chưa được xác thực tới tiện ích mở rộng, điều này có thể nguy hiểm vì bất kỳ ai cũng có thể thực hiện các thao tác sau:
Điều này sẽ cung cấp cho kẻ tấn công toàn quyền truy cập và buộc LastPass thực thi các lệnh RPC, trong đó có thể có hàng trăm lệnh, nhưng nguy hiểm nhất tất nhiên là khả năng sao chép và điền mật khẩu. Trong một số trường hợp, điều này thậm chí có thể dẫn đến việc thực thi mã tùy ý trên máy của người dùng thông qua việc khai thác openattach. Ví dụ: Ormandy trình diễn việc chạy một máy tính thông thường (calc.exe).
Rõ ràng, các nhà phát triển LasPass đã khắc phục sự cố trong tiện ích mở rộng của Chrome bằng cách vô hiệu hóa 1min-ui-prod.service.lastpass.com. Tuy nhiên, một số người dùng lưu ý rằng máy chủ vẫn đang chạy cho họ và lỗ hổng vẫn có liên quan. Người dùng LastPass dành cho Chrome có lẽ nên tắt tiện ích mở rộng này ngay bây giờ và đợi bản vá đầy đủ được phát hành, vì phiên bản 4.1.42, ngày 14 tháng 3 năm 2017, vẫn dễ bị tấn công.
Điều đáng chú ý là tuần trước Tavis Ormandy đã tìm thấy một lỗi tương tự khác trong tiện ích bổ sung LastPass dành cho Firefox. Lỗ hổng này cũng cho phép bạn trích xuất tất cả mật khẩu của người dùng nếu anh ta truy cập một trang web độc hại.
Vấn đề này vẫn chưa được khắc phục. Các nhà phát triển LastPass đã chuẩn bị một bản vá, nhưng phiên bản 3.3.2 đã sửa lỗi vẫn đang được các chuyên gia Mozilla xem xét. Các tác giả của LastPass cũng nhấn mạnh rằng nhánh 3.x vẫn bị coi là lỗi thời và người dùng nên chuyển sang nhánh 4.x an toàn hơn.
Nhưng vấn đề của LastPass không dừng lại ở đó. Hôm nay, ngày 22 tháng 3 năm 2017, Tavis Ormandy cảnh báo rằng tiện ích bổ sung LastPass dành cho Firefox có chứa một lỗi khác cho phép bạn lấy cắp mật khẩu của người khác cho bất kỳ tên miền nào. Hơn nữa, lần này phiên bản 4.1.35 hiện đại và an toàn hơn lại dễ bị tấn công. Chuyên gia hứa hẹn sẽ công bố thông tin chi tiết trong thời gian tới.
Tôi tìm thấy một lỗi khác ở LastPass 4.1.35 (chưa được vá), cho phép lấy cắp mật khẩu của bất kỳ tên miền nào. Báo cáo đầy đủ sẽ được gửi đi trong thời gian ngắn. pic.twitter.com/9VkV7R3vud
Trong một thời gian dài, tôi đã sử dụng chương trình Roboform để lưu trữ mật khẩu của mình cho các trang web và điền vào biểu mẫu web để đăng ký trên nhiều trang web khác nhau (tôi hài lòng với mọi thứ về nó, ngoại trừ việc nó được trả phí).
Nhưng không hiểu sao, tôi liên tục cảm thấy mệt mỏi, trước khi cài đặt lại hệ điều hành, trước tiên tôi phải lưu thư mục của chương trình đã chỉ định, thư mục này chịu trách nhiệm lưu trữ thông tin đăng nhập và mật khẩu cho các trang web của tôi.
Sau đó, sau khi cài đặt lại, hãy tìm lại phiên bản mới và thực hiện các thao tác thay thế các tệp và thư mục. Và rồi điều bất ngờ đã xảy ra: sau khi hệ điều hành bị lỗi, tôi mất quyền truy cập vào toàn bộ dữ liệu.
Tôi không coi mình là chuyên gia khôi phục thông tin từ ổ cứng nên không khôi phục bất cứ thứ gì mà đặt cho mình 2 nhiệm vụ: 1 - tìm một trình quản lý mật khẩu miễn phí và đáng tin cậy; 2- có quyền truy cập vào tất cả mật khẩu và thông tin đăng nhập của bạn từ bất kỳ nơi nào có kết nối Internet.
Trong khi tìm kiếm trình quản lý mật khẩu thay thế, tôi tìm thấy một tiện ích bổ sung dành cho trình duyệt (Firefox, Google Chrome, Opera) có tên Trình quản lý mật khẩu LastPass với tất cả các chức năng mà tôi cần (ghi nhớ thông tin đăng nhập và mật khẩu, điền vào biểu mẫu web, trình tạo mật khẩu) và tôi không phải trả tiền cho các chức năng này.
Ngoài ra, dữ liệu được lưu trữ ở dạng mã hóa mà chỉ bạn mới có quyền truy cập. Việc bổ sung đã cho thấy hiệu suất tuyệt vời trong hơn sáu tháng. Hãy thực hiện cài đặt bằng trình duyệt Internet Firefox làm ví dụ.
Sau khi cài đặt, hãy khởi động lại trình duyệt bằng cách nhấp vào liên kết “Khởi động lại ngay”.
Trình duyệt được khởi động lại và một cửa sổ xuất hiện khi bắt đầu quy trình thiết lập LastPass, trong đó điều đầu tiên chúng ta cần là chọn ngôn ngữ và nhấp vào nút “Tạo tài khoản”.
Trong cửa sổ tiếp theo, nhập địa chỉ email hiện tại của bạn, mật khẩu chính quan trọng nhất (bạn phải nhớ hoặc ghi nó vào đâu đó nếu quên. Chúng tôi sẽ cần nó để có quyền truy cập vào tất cả mật khẩu của chúng tôi và bảng điều khiển của người quản lý.
Chúng tôi tạo lời nhắc mật khẩu (tùy chọn) và nhớ chọn hộp “Tôi đã đọc và đồng ý với Điều khoản sử dụng”. Tiếp theo, chọn hộp “Tôi hiểu rằng dữ liệu được mã hóa của tôi sẽ được gửi đến LastPass”. Chọn các mục còn lại theo ý muốn và nhấp vào “Tạo tài khoản”.
Chúng tôi đọc thông tin cực kỳ quan trọng, nhập lại mật khẩu chính của bạn và nhấp vào “Tạo tài khoản”.
Chúng tôi nhập hoặc không (tùy chọn) thông tin đăng nhập và mật khẩu của mình từ các kho lưu trữ thông tin bí mật khác trên máy tính và nhấp vào nút “Tiếp tục”.
Bạn có thể thiết lập ngay thông tin để điền vào biểu mẫu web.
Ở bước cuối cùng, chúng tôi chấp nhận Chúc mừng bạn đã cài đặt thành công và nhấp vào nút “Tiếp tục”.
QUẢN LÝ MẬT KHẨU
Chúng tôi sẽ tự động được đưa đến bộ nhớ trực tuyến của tài khoản của bạn.
Nút quản lý có thương hiệu với các chức năng chúng ta cần sẽ xuất hiện ở góc bên phải của trình duyệt.
Để sử dụng trình quản lý mật khẩu thuận tiện nhất có thể, tôi khuyên bạn nên đi tới cài đặt và bỏ chọn hộp kiểm “Sử dụng thanh công cụ thu gọn”.
Chúng ta sẽ có một bảng điều khiển tiện lợi ở đầu toàn bộ dòng trong trình duyệt. Bây giờ, khi bạn nhập tên người dùng và mật khẩu của mình trên bất kỳ trang web nào, LastPass sẽ nhắc bạn lưu thông tin.
Giờ đây, bạn có thể truy cập bất kỳ trang web nào bạn cần bằng cách sử dụng danh sách thả xuống tên trang web trong bảng điều khiển trên cùng của người quản lý.
Một tính năng tiện lợi là nhập tất cả thông tin đăng nhập và mật khẩu từ nhiều trình quản lý phổ biến khác nhau.
Đáng nói là trình tạo mật khẩu có khả năng tùy biến cao.
Bây giờ, sau khi cài đặt lại hệ điều hành, có thể là Windows hoặc Linux, bạn chỉ cần cài đặt tiện ích bổ sung LastPass Pass Manager và tất cả dữ liệu bí mật sẽ quay trở lại với bạn.
Tóm lại, tôi sẽ nói rằng trong trình duyệt Google Chrome, phiên bản của nó vì lý do nào đó có ít cài đặt hơn (đặc biệt, tôi không tìm thấy cách tắt thanh công cụ thu gọn để hiển thị trình quản lý trong toàn bộ dòng trình duyệt). Tôi cũng sẽ đề cập rằng trình quản lý mật khẩu này chưa được thử nghiệm trong Opera.
Về những thay đổi quan trọng sắp tới đối với hệ thống tiện ích bổ sung của Firefox. Để đảm bảo khả năng tương thích giữa nhiều trình duyệt, các nhà phát triển Firefox và các trình duyệt khác đã áp dụng một API chung có tên là WebExtensions. Việc hỗ trợ một API chung sẽ giúp giảm chi phí phát triển đa nền tảng cho các công ty như chúng tôi, những công ty phải sản xuất và hỗ trợ các tiện ích mở rộng cho nhiều trình duyệt. Mặc dù việc di chuyển sang WebExtensions mang lại một số lợi ích cho nhà phát triển, trình duyệt và người dùng, nhưng chúng tôi muốn chuẩn bị cho người dùng LastPass chuyển đổi từ tiện ích bổ sung Firefox trước đó sang tiện ích bổ sung mới.
Chúng tôi đã hỗ trợ hai phiên bản LastPass cho Firefox được hơn một năm nay. Phiên bản ổn định 3.x được xuất bản trên Cửa hàng tiện ích mở rộng Firefox và phiên bản 4.x đang phát triển được xuất bản trên trang web LastPass.com.
Mặc dù điều này tạo ra một số nhầm lẫn cho người dùng LastPass, nhưng chúng tôi vẫn duy trì phiên bản "cũ" để duy trì trải nghiệm người dùng giống như Firefox mà người dùng của chúng tôi ưa thích. Trong thời gian chờ đợi, chúng tôi tiếp tục phát triển phiên bản 4.x phù hợp với những thay đổi mà Mozilla thực hiện. Nhưng với thông tin gần đây rằng Mozilla sẽ chuyển hoàn toàn sang WebExtensions vào cuối năm 2017, chúng ta phải nói lời tạm biệt với LastPass phiên bản 3.x dành cho Firefox.
Chúng tôi sẽ phát hành phiên bản mới nhất của tiện ích bổ sung vào ngày 31 tháng 3 năm 2017. Phiên bản mới nhất của tiện ích bổ sung dự kiến sẽ được triển khai cho tất cả người dùng phiên bản 3.3.2 trong vòng vài ngày sau khi được Mozilla xem xét. Bạn có thể cập nhật thủ công tiện ích bổ sung Firefox ngay bây giờ hoặc đợi bản cập nhật tự động vào tháng 4. Sau này, chỉ có phiên bản 4.x mới có trên cả addons.mozilla.org và LastPass.com. Đối với người dùng tiện ích bổ sung Firefox phiên bản 3.x, bản cập nhật này mang đến tất cả những cải tiến mới nhất mà chúng tôi đã thực hiện đối với logic và hiệu suất cốt lõi của LastPass, cũng như giao diện người dùng mới nhất. Dựa trên phản hồi của người dùng, chúng tôi cũng khuyên bạn nên kiểm tra các chế độ xem ô và danh sách trong giao diện 4.x để xem chế độ xem nào phù hợp nhất với bạn.
Giao diện LastPass 3.x
Giao diện LastPass 4.x
Ngoài việc triển khai những thay đổi do Mozilla thực hiện, chúng tôi tin rằng phiên bản mới của tiện ích bổ sung Firefox của chúng tôi nhìn chung dễ sử dụng hơn nhiều. Chúng tôi biết rằng sự thay đổi không phải lúc nào cũng dễ chịu. Chúng tôi đang lắng nghe phản hồi của bạn và thực hiện các thay đổi chu đáo, sáng suốt đồng thời thống nhất trải nghiệm LastPass trên tất cả các trình duyệt và nền tảng.
Tất nhiên, việc nâng cấp lên phiên bản mới của tiện ích bổ sung sẽ không ảnh hưởng đến tài khoản LastPass hoặc bất kỳ dữ liệu nào trong bộ lưu trữ của bạn. Bạn sẽ vẫn có toàn quyền truy cập vào tài khoản của mình bất kỳ lúc nào từ bất kỳ trình duyệt và thiết bị nào.
Như thường lệ, bạn có thể liên hệ với nhóm hỗ trợ của chúng tôi nếu có bất kỳ câu hỏi hoặc thắc mắc nào về quá trình chuyển đổi này.
Tùy chọn đầu tiên và đơn giản nhất là trình quản lý mật khẩu tiêu chuẩn của Chrome, Firefox, Opera hoặc Vivaldi. Hầu như tất cả các trình duyệt hiện đại đều có thể lưu và tự động chèn thông tin đăng nhập và mật khẩu vào các trường bắt buộc. Có, tùy chọn này không thể được gọi là rất hữu dụng vì nó thiếu một số tính năng bổ sung như trình tạo các kết hợp đáng tin cậy và ghi chú được bảo vệ. Nhưng bạn có thể sử dụng nó hoàn toàn miễn phí và có sự đồng bộ hóa giữa các thiết bị khác nhau, tất nhiên, điều này chỉ hoạt động nếu bạn sử dụng cùng một trình duyệt ở mọi nơi.
Đơn giản, khả năng tiếp cận, miễn phí. Đồng bộ hóa giữa các thiết bị khác nhau.
− Chức năng và bảo mật thấp.1Mật khẩu
1Password đã tồn tại được hơn 8 năm nhưng luôn bị LastPass lu mờ do giá thành khá cao. Nó có thể lưu trữ mật khẩu, dữ liệu thẻ ngân hàng, giấy phép phần mềm và các thông tin bí mật khác trong bộ lưu trữ ảo an toàn. Bộ lưu trữ này có thể được đặt trên một máy chủ từ xa hoặc một thiết bị cục bộ. Có thể đồng bộ hóa qua Wi-Fi, Apple iCloud hoặc Dropbox. Các nhà phát triển đặc biệt chú ý đến các thuật toán bảo mật và mã hóa, nhờ đó dịch vụ này không được chú ý trong các vụ bê bối cấp cao.
Độ tin cậy, đa nền tảng, chức năng, đồng bộ hóa.
− Giá cao.KeepPass
Nếu bạn đang tìm kiếm một giải pháp miễn phí và không ngại khó khăn thì hãy thử KeePass. Đây là một dự án nguồn mở hoàn toàn được tạo ra bởi các nhà phát triển độc lập. Nó có rất nhiều khả năng nhờ sự hiện diện của cả một kho vũ khí gồm nhiều tiện ích bổ sung, plugin và tiện ích phụ trợ khác nhau. Tuy nhiên, đổi lại, bạn sẽ phải đối mặt với những nhược điểm điển hình của phần mềm miễn phí là độ phức tạp cao trong quá trình phát triển và tính không ổn định của một số yếu tố.
Cơ sở dữ liệu mật khẩu được tạo trong KeePass được lưu trữ dưới dạng một tệp duy nhất, tệp này có thể được đặt trên ổ cứng của bạn hoặc trong một số dịch vụ đám mây. Trong trường hợp sau, bạn có thể triển khai đồng bộ hóa dữ liệu giữa các thiết bị khác nhau. Có các plugin dành cho các trình duyệt phổ biến, với mức độ thành công khác nhau, cung cấp khả năng thay thế thông tin đăng nhập và mật khẩu trên các trang mong muốn. Ngoài ra, KeePass còn có sẵn trên thiết bị di động.
Miễn phí, chức năng, an toàn.
− Một giải pháp dành cho những người đam mê công nghệ có thể chọn và cấu hình chính xác tất cả các thành phần cần thiết.làn đường
Dịch vụ lưu trữ mật khẩu này xuất hiện tương đối gần đây nhưng đã chứng tỏ được mặt tích cực của nó. Dashlane có ngoại hình đẹp, chức năng tốt và dễ sử dụng. Cơ sở dữ liệu mật khẩu được lưu trữ trên đám mây ở dạng mã hóa và có sự đồng bộ hóa giữa các máy khách cho các nền tảng khác nhau (Mac, PC, iOS và Android). Trong số các tính năng bổ sung, cần nêu bật chức năng tự động điền biểu mẫu, trình tạo mật khẩu, khả năng thay đổi mật khẩu chỉ bằng một cú nhấp chuột và các công cụ tiện lợi để mua sắm trực tuyến. Nhưng tất cả sự huy hoàng này có thể phai mờ đối với bạn nếu bạn muốn sử dụng tính năng đồng bộ hóa dữ liệu giữa các thiết bị khác nhau. Để làm được điều này, bạn sẽ phải mua một gói đăng ký hàng năm có giá 39,99 USD, bạn thấy đấy, một con số khá lớn.
Ngoại hình, độ tin cậy, đa nền tảng, ví kỹ thuật số.
− Chi phí cao, thiếu lưu trữ mật khẩu cục bộ.Bạn sẽ chọn trình quản lý mật khẩu nào nếu LastPass được trả phí?