Se encontraron errores críticos en el administrador de contraseñas de LastPass, en las extensiones de Chrome y Firefox. Último pase agotado

Durante mucho tiempo, utilicé el programa Roboform para almacenar mis contraseñas en los sitios y completar formularios web para registrarme en varios sitios (todo estaba bien, excepto por el hecho de que se pagó).

Pero de alguna manera me cansé, constantemente antes de reinstalar el sistema operativo, primero guarde la carpeta el programa especificado, que se encarga de almacenar la información con los usuarios y contraseñas de mis sitios.

Luego, después de la reinstalación, busque nuevamente una nueva versión y realice manipulaciones con el reemplazo de archivos y carpetas. Y luego sucedió lo inesperado, después de la falla del sistema operativo, perdí el acceso a todos los datos.

Especialista en recuperación de información disco duro No me considero a mí mismo, así que no restauré nada, pero me propuse 2 tareas: 1 - encontrar un administrador de contraseñas gratuito y confiable; 2- tener acceso a todas sus contraseñas e inicios de sesión desde cualquier lugar donde haya una conexión a Internet.

Mientras buscaba un administrador de contraseñas alternativo, encontré un complemento del navegador (Firefox, Google Chrome, Ópera) llamado Administrador de contraseñas LastPass con todas las funciones que necesito (recordar usuarios y contraseñas, completar formularios web, un generador de contraseñas) y además, no tienes que pagar por estas funciones.

Además, los datos se almacenan en forma encriptada, a la que solo usted tiene acceso. Además mostró gran trabajo durante más de medio año. Hagamos la instalación usando el navegador de Internet Firefox como ejemplo.

Después de la instalación, reinicie el navegador haciendo clic en el enlace "Reiniciar ahora".

El navegador se vuelve a cargar y aparece una ventana con el inicio del procedimiento de configuración de LastPass, donde lo primero que debemos hacer es seleccionar el idioma y hacer clic en el botón "Crear una cuenta".

En la siguiente ventana, ingrese una dirección válida Correo electrónico, la contraseña maestra más importante (hay que recordarla o apuntarla en algún sitio si sufrimos de olvido. La necesitaremos para acceder a todas nuestras contraseñas y al panel de control del administrador.

Creamos un recordatorio para la contraseña (opcional), ponemos una marca en el campo "He leído y acepto los Términos de uso". A continuación, marque la casilla "Entiendo que mis datos cifrados se enviarán a LastPass". Seleccionamos los elementos restantes como deseemos y hacemos clic en "Crear una cuenta".

Leemos extremadamente información importante, ingrese su contraseña maestra principal nuevamente y haga clic en "Crear una cuenta".

Importamos o no (opcional) nuestros nombres de usuario y contraseñas de otros almacenamientos de información confidencial en la computadora y hacemos clic en el botón "Continuar".

Puede configurar inmediatamente la información para completar formularios web.

Sobre el último paso Aceptamos Felicitaciones por la instalación exitosa y hacemos clic en el botón "Continuar".

ADMINISTRADOR DE CONTRASEÑAS

Ingrese automáticamente al almacenamiento en línea de su cuenta.

Aparece un botón de administrador propietario en la esquina derecha del navegador con las funciones que necesitamos.

Para el uso más conveniente del administrador de contraseñas, recomendaría ir a la configuración y desmarcar la casilla "Usar barra de herramientas compacta".

Obtendremos un panel de control conveniente en la parte superior de toda la línea en el navegador. Ahora, cuando ingrese su nombre de usuario y contraseña en cualquier sitio, LastPass le ofrecerá guardar información.

Ahora puede usar la lista desplegable con nombres de sitios web en el panel de control superior del administrador para acceder a cualquier sitio web que necesite.

Una característica conveniente es la importación de todos los inicios de sesión y contraseñas de varios administradores populares.

Vale la pena mencionar el generador de contraseñas perfectamente personalizable.

Ahora, después de reinstalar el sistema operativo, ya sea Windows o Linux, todo lo que necesita hacer es instalar el complemento LastPass Password Manager y todos sus datos confidenciales estarán de vuelta con usted.

En conclusión, diré que navegador de google Chrome, su versión por alguna razón tiene menos ajustes(en particular, no encontré cómo desactivar la barra de herramientas compacta para mostrar el administrador en toda la línea del navegador). También mencionaré que este administrador de contraseñas no ha sido probado en Oper.

En el verano de 2016, el especialista de Google Project Zero, Tavis Ormandy, sinceramente: "¿La gente realmente usa esta cosa de LastPass?". Luego, Ormandy descubrió una vulnerabilidad en el código del complemento LastPass para Firefox 0-day, que permitía comprometer todas las contraseñas de los usuarios de forma remota.

Ahora, casi un año después, el experto ha vuelto a decidir poner a prueba la seguridad de LastPass y, lamentablemente, no se puede decir que la aplicación haya superado esta prueba. Ormandy escribe que descubrió un problema en la extensión oficial de LastPass para navegador cromo. Según la publicación del investigador, el content_scrip de la extensión contiene una vulnerabilidad que, de ser atacada, podría comprometer todas las credenciales almacenadas en la aplicación. Además, para implementar el ataque, el atacante solo necesita atraer al usuario a un sitio malicioso.

El investigador explica que el script solo se usa para acceder a un dominio específico en lastpass.com, y si observa más de cerca cómo funciona, se ve así:

Aquí, como señala Ormandy, radica el error. El script envía mensajes de ventana no autenticados a la extensión, lo que puede ser peligroso porque cualquiera puede hacer lo siguiente:

Esto le dará al atacante Acceso completo y forzar a LastPass a ejecutar comandos RPC, de los cuales puede haber cientos, pero el más peligroso de todos, por supuesto, es la capacidad de copiar y completar contraseñas. En algunos casos, esto puede incluso conducir a la ejecución de código arbitrario en la máquina del usuario, a través de la explotación de openattach. Como ejemplo, Ormandy demuestra cómo ejecutar una calculadora normal (calc.exe).

Los desarrolladores de LasPass parecen haber solucionado el problema en la extensión de Chrome al deshabilitar 1min-ui-prod.service.lastpass.com. Sin embargo, algunos usuarios notan que el servidor todavía funciona para ellos y que la vulnerabilidad sigue siendo relevante. Los usuarios de LastPass para Chrome probablemente deberían desactivar la extensión por ahora y esperar a que se publique un parche completo, ya que la versión 4.1.42, con fecha del 14 de marzo de 2017, aún era vulnerable.

Vale la pena señalar que la semana pasada, Tavis Ormandy encontró otro error muy similar en el complemento LastPass para Firefox. La vulnerabilidad de la misma manera le permite extraer todas las contraseñas del usuario si visita un sitio malicioso.

Este problema aún no se ha solucionado. Los desarrolladores de LastPass ya han preparado un parche, pero Mozilla aún está revisando la versión revisada 3.3.2. Los autores de LastPass también enfatizaron que la rama 3.x todavía se considera obsoleta y se recomienda a los usuarios que cambien a la rama 4.x más segura.

Pero los problemas de LastPass no terminan ahí. Hoy, 22 de marzo de 2017, Tavis Ormandy advirtió que el complemento LastPass para Firefox contiene otro error que le permite robar las contraseñas de otras personas para cualquier dominio. Además, esta vez la versión más moderna y segura 4.1.35 es vulnerable. El experto promete publicar los detalles en un futuro próximo.

Encontré otro error en LastPass 4.1.35 (sin parchear), permite robar contraseñas para cualquier dominio. El informe completo estará en camino en breve. pic.twitter.com/9VkV7R3vud

Responsable sección separada menú. Sin embargo, está lejos de ser conveniente para todos los usuarios: sin la sincronización habilitada, estos datos se almacenan localmente y, si disco duro se volverá inutilizable, habrá problemas fatales con Sistema operativo, los datos guardados para la autorización son fáciles de perder sin posibilidad de recuperación. Además, incluso con la sincronización habilitada, el usuario se vincula a un navegador específico. Las herramientas de terceros evitan todos estos inconvenientes y mantienen seguros los datos personales. En particular, esto se aplica a LastPass, un complemento con un historial comprobado y funciones útiles.

El objetivo principal de este complemento es almacenar todas las contraseñas que ingresa al autorizar en sitios en la nube. Gracias a esto, no es necesario estar atado a un navegador: simplemente instale la extensión en otro dispositivo, inicie sesión con la misma cuenta y acceda fácilmente a cualquier sitio para el que ya se hayan guardado contraseñas anteriormente. Crear su cuenta de LastPass es muy sencillo:

1. Instale la extensión desde los complementos del navegador Firefox utilizando la búsqueda del sitio o el enlace a continuación.
2. Confirme la instalación con el botón correspondiente.



3. Después de eso, deberá registrarse en él: haga clic en el icono de LastPass que aparecerá a la derecha Barra de dirección, y haga clic en el botón "Aceptar".



4. Abrirá nueva pagina en un navegador web donde debe pasar por el proceso de registro. Para comenzar, ingrese una dirección de correo electrónico válida. La dirección de correo electrónico debe ser válida para que, si pierde su contraseña de LastPass, pueda recuperarla.



5. El servicio requiere una contraseña compleja: a partir de 12 caracteres, que contenga al menos 1 letra minúscula y 1 mayúscula, así como al menos 1 número. Asegúrese de incluir una pista que le ayudará a recuperar la clave si la olvida.



Una vez que se haya creado una cuenta, deberá realizar su primer guardado. Funciona así: abre el sitio, contraseña de cuenta desea guardar en LastPass. Siga el procedimiento de autorización estándar. La extensión le pedirá permiso para guardar la contraseña, confirme esto con el botón Agregar.



Como experimento, cierra la sesión de este sitio y verás que aunque no recuerdes la contraseña en el propio Mozilla Firefox, los datos de inicio de sesión serán sustituidos. Si tiene varias cuentas de un sitio, haga clic en el botón en el campo de entrada de inicio de sesión o contraseña y seleccione opción deseada. Los diferentes datos de autorización de las cuentas estarán disponibles solo después de que inicie sesión en ellos uno por uno.



Cifrado local

Una característica de esta extensión es que todo el cifrado que se produce en LastPass se realiza localmente mediante una clave única, por lo que las contraseñas, incluso en forma cifrada, no se transmiten al servidor de la empresa. Este caso utiliza tecnologías AES-256 y PBKDF2 SHA-256. Gracias a esto, el usuario no tiene que preocuparse por ingresar información confidencial en la memoria del complemento: no será posible que personas no autorizadas lo reconozcan. Además, cada acción importante va acompañada del requisito de volver a ingresar la contraseña; esto ayuda a proteger los datos personales de otros usuarios que están en la computadora en su ausencia.

Bóveda personal

A cada usuario registrado se le proporciona un perfil en el que puede gestionar Varias funciones. Para hacer esto, haga clic en el botón de extensión y vaya a "Abre mi bóveda".



Lo más importante es que aquí puede ver todas las contraseñas que ha guardado en LastPass, ordenarlas y distribuirlas en carpetas.



Para cada contraseña, si hace clic en el botón de llave inglesa en el mosaico, puede configurar varias opciones adicionales: ver el inicio de sesión, la contraseña, agregar una nota, una carpeta, la necesidad de ingresar una contraseña maestra antes de ingresar la contraseña en la autorización formulario, habilite el inicio de sesión automático en el sitio con estos datos, deshabilitando el autocompletado (específicamente, este nombre de usuario y contraseña no se sustituirán automáticamente en los campos correspondientes en la página de inicio de sesión Área personal este sitio). Incluso hay una opción para agregar una contraseña a favoritos y enviarla a una persona de confianza por correo.



A pesar del nombre, además de las propias contraseñas, esta extensión puede almacenar algunos otros datos. A saber: notas, direcciones/números de teléfono, tarjetas de pago, cuentas bancarias. Por lo tanto, podrá acceder rápidamente a cualquiera de esta información confidencial utilizando una computadora, dispositivo móvil o reloj de manzana donde está disponible la aplicación LastPass. Lo mismo ocurre con ellos: notas, números tarjetas de crédito y otros se pueden ver, clasificar y distribuir fácilmente. Todo esto también se puede editar y eliminar fácilmente cuando alguna información se cambia o queda desactualizada.



Aquí también se propone utilizar características secundarias, en las que no nos detendremos, pero que consideraremos parcialmente más (ya que son parte del menú de extensión), producir algunos ajustes básicos cuenta. La interfaz de idioma ruso, desafortunadamente, no está aquí.

Visualización de contraseñas de inicio de sesión utilizadas recientemente

Este elemento y otros se llaman a través del menú, que se puede abrir haciendo clic en el icono de la extensión, como dijimos anteriormente. Por lo tanto, en el futuro no nos detendremos en esto, sino que simplemente indicaremos los nombres de los puntos. Ahora hablaremos de "Recientemente usado".



Aquí verá una lista de los últimos inicios de sesión y contraseñas que se utilizaron para ingresar a los sitios. Por cierto, esto es algo conveniente no solo para el propietario de la cuenta, sino también para verificar la confidencialidad. Los datos no se pueden borrar desde aquí, a diferencia del historial del navegador, por lo que si alguien estaba en su computadora e ingresó a sitios sin su conocimiento, investigando "Recientemente usado" definitivamente lo sabrá, incluso si se ha limpiado el historial del navegador web.



Al hacer clic en cualquier elemento, puede ir al sitio en sí, editar los datos de autorización o eliminar por completo la combinación de inicio de sesión y contraseña de LastPass.



Ver información personal

Anteriormente, aclaramos que, además de las contraseñas, en la extensión se ingresan notas, números de tarjeta y otros datos. A través del artículo "Todos los artículos" no solo puede verlos rápidamente, sino también agregar un nuevo elemento. Esto es conveniente porque la necesidad de ir a cuenta personal desaparece En el futuro, toda esta información se puede utilizar para Registro rápido en sitios web, pagar algunas compras, facturas sin tener que ingresar manualmente la información de pago.



Adición de información personal

Estos datos más personales se pueden ingresar fácilmente en la extensión yendo a través del menú a la sección "Añadir artículo". Aquí puede elegir entre varias plantillas temáticas a la vez, donde se ingresa la información necesaria. Algunos de ellos no son aplicables a nuestro país, sin embargo, en general, los campos son relevantes para completar, y así puede ingresar información sobre seguro médico, licencia de conducir, pasaporte, etc. Todo esto está disponible para verlo a través de su cuenta personal.



Generación de contraseñas complejas

La extensión pide a los usuarios que creen contraseñas complejas que no puede ser pirateado por atacantes. Ir a "Generar contraseña segura", se le pedirá que establezca la longitud de la clave futura, especifique su tipo (fácil de pronunciar, fácil de leer, con letras mayúsculas, minúsculas, números y símbolos). Si no le gusta el resultado, cambie sus parámetros o simplemente regenérelo.



Opciones de cuenta adicionales

Además de todas estas características, también hay algunas características técnicas y menores que algunos pueden encontrar útiles. Sección del menú "Opciones de cuenta" encontrará las siguientes opciones adicionales:






En resumen, se debe decir que LastPass es una extensión bastante funcional que no tiene análogos en su utilidad para todos aquellos que trabajan activamente con sitios en Internet. LastPass no es muy adecuado para principiantes que no quieren entender sus funciones y no van a pagar por proporcionar funciones avanzadas. Después del registro, obtiene 30 días de uso premium como regalo, luego de lo cual deberá comprar la versión PRO de acuerdo con las tarifas del servicio para recibirlo (consulte la lista de opciones que se abren cuando compra Premium - probablemente simplemente no no los necesito). Sin embargo, para el almacenamiento habitual de contraseñas, LastPass también se usa con éxito: usándolo, puede usar fácilmente diferentes navegadores y en diferentes dispositivos, obteniendo y gestionando automáticamente los datos de autorización allí donde esté instalado este complemento.

primero y mas opción sencilla es el administrador de contraseñas predeterminado para Chrome, Firefox, Opera o Vivaldi. Casi todos los navegadores modernos pueden guardar e insertar automáticamente inicios de sesión y contraseñas en los campos obligatorios. Sí, esta opción no puede llamarse muy funcional, ya que carece de algunas características adicionales, como un generador de combinación confiable y notas seguras. Pero puedes usarlo completamente gratis, y hay sincronización entre varios dispositivos, que solo funciona, por supuesto, si usas el mismo navegador en todas partes.

Simplicidad, accesibilidad, gratis. Sincronización entre diferentes dispositivos.
− Baja funcionalidad y seguridad.

1 Contraseña

1Password ha existido durante más de ocho años, pero LastPass siempre lo ha eclipsado debido a su costo bastante alto. Puede almacenar contraseñas, datos tarjetas bancarias, licencias de software y otra información confidencial en almacenamiento virtual seguro. Este repositorio puede estar ubicado en un servidor remoto o dispositivo local. Es posible sincronizar a través de Wi-Fi, iCloud de manzana o Dropbox. Los desarrolladores prestaron especial atención a los algoritmos de seguridad y cifrado, por lo que este servicio no se vio en escándalos de alto perfil.

Fiabilidad, multiplataforma, funcionalidad, sincronización.
− Precio elevado.

KeePass

Si usted está buscando solución gratuita y no tengas miedo de las dificultades, entonces asegúrate de probar KeePass. Este es un proyecto completamente de código abierto creado por desarrolladores independientes. Él posee enorme cantidad oportunidades gracias a la presencia de todo un arsenal de varios complementos, complementos y utilidades auxiliares. Sin embargo, a cambio, tendrá que aceptar las deficiencias típicas de la gratuidad. software en forma de alta complejidad de desarrollo e inestabilidad de algunos elementos.

La base de datos de contraseñas creada en KeePass se almacena como un archivo único, que se puede colocar en un disco duro o en cualquier servicio de almacenamiento en la nube. En este último caso, puede implementar la sincronización de datos entre diferentes dispositivos. Existen complementos para navegadores populares que, con diversos grados de éxito, proporcionan la sustitución de inicios de sesión y contraseñas en las páginas necesarias. Además, KeePass también está disponible en dispositivos móviles.

Gratis, funcional, seguro.
− Una solución para geeks que podrán seleccionar y configurar correctamente todos los componentes necesarios.

Dashlane

Este servicio de almacenamiento de contraseñas apareció hace relativamente poco tiempo, pero ya ha logrado probarse con lado positivo. Dashlane es diferente agradable apariencia, buena funcionalidad y facilidad de uso. La base de datos de contraseñas se almacena en la nube de forma encriptada, hay sincronización entre clientes para varias plataformas (Mac, PC, iOS y Android). Entre características adicionales es necesario resaltar la función de llenado automático de formularios, un generador de contraseñas, la capacidad de cambiar contraseñas en un clic y herramientas útiles para compras en línea. Pero todo este esplendor puede desvanecerse si desea utilizar la sincronización de datos entre diferentes dispositivos. Para ello, tienes que comprar una suscripción anual por 39,99 dólares, que, como ves, es mucho.

Apariencia, confiabilidad, multiplataforma, billetera digital.
− Alto costo, sin posibilidad de almacenamiento local de contraseñas.

¿Y qué administrador de contraseñas elegirá si LastPass se paga?

Conozca LastPass, uno de los los mejores programas para almacenar contraseñas distribuidas como un único instalador de complementos para explorador de Internet, Google Chrome, Mozilla Firefox, Ópera y safari de manzana desarrollado por LastPass. Las contraseñas en LastPass están protegidas por una contraseña maestra, se almacenan localmente y se pueden sincronizar con cualquier otro navegador. LastPass también tiene un relleno de formularios que le permite automatizar el ingreso de contraseñas y el llenado de formularios. El complemento admite la generación de contraseñas, el intercambio de datos, el registro de inicio de sesión, la creación de notas seguras y mucho más. Descargar LastPass puede ser inferior.

Una contraseña maestra (el lema en el sitio es "¡La última contraseña que debes recordar!").
Sincronización del navegador.
Generación de contraseña fuerte.
Cifrado de contraseña.
Relleno de formulario en línea.
Importe contraseñas de otros administradores de contraseñas, así como expórtelas.
Las contraseñas se almacenan en el servicio en la nube de lastpass.com de forma cifrada (AES-256).
La contraseña maestra de LastPass se almacena en su cabeza y cuando la ingresa, todas las contraseñas se descifran de la base de datos (AES-256).
Las contraseñas se transmiten a través de una conexión segura (https).
LastPass genera un hash de su nombre de usuario y contraseña, que es la clave del algoritmo AES.
Para la autorización, el servicio LastPass utiliza un doble hash, es él quien se envía al servidor y es una clave de verificación durante la autorización.
Los nombres de grupos, cuentas y datos se transmiten en forma encriptada, https se usa en todas partes.
LastPass recopila contraseñas que otros administradores de contraseñas no pueden ver, incluidos muchos formularios AJAX, y facilita la creación de contraseñas seguras.
Puede importar y exportar datos de muchos sistemas de almacenamiento de contraseñas conocidos (como: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox e Internet Explorer y muchos más). Las contraseñas en LastPass están protegidas por una contraseña maestra y se almacenan localmente y se pueden sincronizar con cualquier otro navegador.
LastPass utiliza criptografía sólida en el lado del cliente: las contraseñas dejan la computadora ya cifrada y solo el usuario puede descifrarlas. E incluso si alguien obtiene estos datos, los datos cifrados son básicamente inútiles.
Lo que más me gusta es que todos los datos se almacenan en una computadora y un servicio seguro, sincronizados periódicamente, y hay acceso desde cualquier computadora donde esté instalado LastPass. Además, es muy característica útil creando notas seguras y otras características igualmente útiles.

Casi todo. El programa hace todo por sí mismo. Ofrecerá guardar el inicio de sesión: contraseña, ingresarlos en los campos la próxima vez que visite la página, o incluso ingresarlos usted mismo (si lo desea). Al mismo tiempo, genera contraseñas que no necesita recordar en absoluto, y para cada recurso serán diferentes. Esto aumenta muchas veces la seguridad del acceso protegido.
Si lo desea, sus secretos siempre pueden estar con usted, donde sea que trabaje y con cualquier computadora que use. Para ello, puedes utilizar la versión local (LastPass Pocket) para un pendrive (para ello, es recomendable exportar primero tus datos de tu cuenta de LastPass a un archivo en disco, para que luego puedas abrirlo con un portátil). versión en cualquier lugar, sin instalar el programa principal). Todo funciona sin restricciones en cuanto a la cantidad de datos guardados, el tiempo de uso, de forma gratuita y en ruso. A pesar de que hay versión de pago, con características un poco más avanzadas, pero no estamos hablando de eso.
El procedimiento para instalar el programa y registrar una cuenta de LastPass es bastante simple, solo necesita aceptar la configuración predeterminada y el instalador ofrecerá deshabilitar los administradores de contraseñas en navegadores instalados por su falta de fiabilidad. Crear una contraseña maestra también es muy fácil (aquí se le presentarán opciones y se le mostrará qué tan resistente es su contraseña maestra a la piratería). Además, los desarrolladores recomiendan cambiar su contraseña maestra periódicamente para evitar el acceso no autorizado a su cuenta de LastPass. en el mismo servicio LastPass no hay acceso a sus datos confidenciales, de los que advierten honestamente. Es decir, si olvida o pierde su contraseña maestra, solo se le enviará una pista para restablecer su contraseña (y no sus contraseñas, inicios de sesión, etc.), o tendrá que usar la recuperación de cuenta.
Una gran ventaja de LastPass, en mi opinión, es que si ya tiene una cuenta de LastPass existente (bueno, y aprendió una contraseña maestra, por supuesto, para ingresar a su cuenta), no tiene absolutamente nada que temer "caerse" y /o reinstalando el sistema, solo necesita reinstalar LastPass e iniciar sesión en su cuenta, luego el programa funcionará para usted. No hace falta decir que todas sus contraseñas, sitios web, foros, notas seguras, en general, todo lo que guardó se restaurará en una computadora nueva. Los desarrolladores están alerta, actualizando constantemente LastPass, fortaleciéndolo (y su seguridad) y mejorando el programa, y ​​en los navegadores, las extensiones de LastPass se actualizan en segundo plano sin interferir con el trabajo.
Tal descripción de las características de LastPass resultó estar lejos de ser completa, espero que disfrute el programa. Al final, observo que después de probar muchos gestores de contraseñas, de pago y gratuitos, opté por LastPass hace mucho tiempo por su sencillez y fiabilidad. El programa se actualiza con bastante frecuencia, tanto en el sitio web oficial como en los servicios. extensiones de Google, Firefox, Opera y Safari, hay una ayuda en línea detallada y un video sobre cómo configurar y usar el programa.

Desarrollador: Joe Siegrist
Licencia: software gratuito
Idioma: Multi + Ruso
Tamaño: 59MB
sistema operativo: ventanas
Descargar: