Про майбутні значні зміни в системі додатків Firefox. Для забезпечення сумісності між браузерами розробники Firefox та інших браузерів прийняли загальний API-інтерфейс під назвою WebExtensions. Підтримка загального API-інтерфейсу дозволить знизити вартість кросплатформової розробки таким компаніям, як наша, яким доводиться випускати та підтримувати розширення для кількох браузерів. Хоча перехід на WebExtensions дає низку переваг розробникам, браузерам та користувачам, ми хочемо підготувати користувачів LastPass до переходу з попереднього доповнення Firefox на нове.
Вже більше року ми підтримуємо дві версії LastPass Firefox. Стабільна версія 3.x опублікована в магазині розширень Firefox, а версія 4.x, що знаходиться в розробці, опублікована на веб-сайті LastPass.com.
Хоча це створювало деяку плутанину для користувачів LastPass, ми підтримували «стару» версію для збереження інтерфейсу користувача, властивого Firefox, якому надавали перевагу наші користувачі. Тим часом ми продовжували розробку версії 4.x відповідно до змін, які реалізує Mozilla. Але у світлі нещодавніх новин про те, що Mozilla повністю перейде на WebExtensions до кінця 2017 року, ми повинні розпрощатися з версією LastPass 3.x для Firefox.
Ми представимо найновішу версію доповнення 31 березня 2017 р. Розгортання новітньої версії доповнення для всіх користувачів версії 3.3.2 очікується протягом кількох днів після перевірки Mozilla. Ви можете вручну оновити додаток для Firefox вже зараз або дочекатися автоматичного оновленняу квітні. Після цього буде доступна тільки версія 4.x як на addons.mozilla.org, так і на LastPass.com. Користувачам доповнення для Firefox версії 3.x це оновлення принесе всі останні покращення базової логіки та продуктивності LastPass, які ми реалізували, а також новий інтерфейскористувача. На основі відгуків користувачів ми також рекомендуємо ознайомитися з уявленнями у вигляді плиток та списку в інтерфейсі версії 4.x, які для вибору оптимального вигляду.
LastPass 3.x Interface
LastPass 4.x Interface
Крім реалізації змін, внесених Mozilla, ми впевнені, що нова версія нашого доповнення для Firefox стала набагато зручнішою у використанні. Ми знаємо, що зміни не завжди приємні. Ми дослухаємося до ваших відгуків та вносимо продумані та обґрунтовані зміни, уніфікуючи при цьому інтерфейс LastPass для всіх браузерів та платформ.
Звичайно, перехід на нову версіюдоповнення ніяк не вплине на ваш обліковий запис LastPass та будь-які дані у вашому сховищі. У вас все одно буде повний доступдо своєї облікового записубудь-якої миті з будь-якого браузера та з будь-якого пристрою.
Як завжди ви можете звертатися до нашої служби підтримки , якщо у вас є будь-які питання чи сумніви щодо цього переходу.
Тривалий час я користувався для зберігання своїх паролів до сайтів та заповнення веб-форм для реєстрації на різних сайтах програмою Roboform (влаштовувало в ній все, крім того, що вона платна).
Але якось набридло, постійно перед переустановкою операційної системи, попередньо зберігати папку вказаної програми, яка відповідає за зберігання інформації з логінами та паролями до моїх сайтів.
Потім після переустановки знову шукати її нову версію і проводити маніпуляції із заміною файлів і папок. І ось трапилося непередбачене, після відмови операційної системи втратив доступ до всіх даних.
Фахівцем з відновлення інформації з жорсткого диская себе не вважаю, тому відновлювати нічого не став, а поставив собі 2 завдання: 1 – знайти безкоштовний та надійний менеджер паролів; 2- мати доступ до всіх своїх паролів та логін з будь-якого місця, де є підключення до інтернету.
Зайнявшись пошуками альтернативного менеджера паролів, я знайшов додаток до браузера (Firefox, Google Chrome, Opera) під назвою LastPass Password Managerз усіма функціями, що мені потрібні (запам'ятовування логінів та паролів, заповнення веб-форм, генератором паролів) і за ці функції не треба платити.
Плюс до всього дані зберігаються в зашифрованому вигляді, доступ до яких маєте тільки ви. Доповнення показало відмінну роботу протягом понад півроку. Займемося встановленням на прикладі інтернет-браузера Firefox.
Після встановлення перезапускаємо браузер, натиснувши посилання «Перезапустити зараз».
Браузер перезавантажений і з'являється вікно з початком процедури налаштування LastPass, де перше, що нам потрібно, це вибрати мову і натиснути кнопку «Створити обліковий запис».
У наступному вікні вводимо діючу адресу електронної пошти, найголовніший майстер-пароль (його потрібно обов'язково запам'ятати або десь записати, якщо страждаємо забудькуватістю. Він буде потрібен нам для отримання доступу до всіх своїх паролів та панелі управління менеджера).
Створюємо нагадування до пароля (не обов'язково), обов'язково ставимо позначку в полі «Я прочитав і згоден з Умовами використання». Далі ставимо позначку в полі "Я розумію, що мої зашифровані дані будуть надіслані LastPass". Вибираємо інші пункти за бажанням та натискаємо на «Створити обліковий запис».
Читаємо вкрай важливу інформацію, вводимо свій головний майстер-пароль ще раз і тиснемо "Створити обліковий запис".
Імпортуємо чи ні (за бажанням) свої логіни та паролі з інших сховищ конфіденційної інформаціїна комп'ютері та клацаємо на кнопку «Продовжити».
Можна налаштувати інформацію для заповнення веб-форм.
На останньому кроці приймаємо Привітання про успішне встановлення та натискаємо на кнопку «Продовжити».
PASSWORD MANAGER
Автоматично потрапляємо в онлайн-сховище вашого облікового запису.
У правому куті браузера з'являється фірмова кнопка менеджера з потрібними функціями.
Для максимально зручного використання менеджера паролів я б рекомендував зайти в налаштування, зняти галочку в пункті «Використовувати компактну панель інструментів».
У нас вийде зручна панель керування зверху на весь рядок у браузері. Тепер при введенні логіну та паролю на будь-якому сайті LastPass пропонуватиме зберігати інформацію.
Тепер для доступу до будь-якого потрібного вам веб-сайту можна використовувати список, що розкривається, з назвами веб-сайтів у верхній панелі управління менеджера.
Зручною функцією є імпорт усіх логінів та паролів з різних популярних менеджерів.
Варто згадати генератор паролів, що чудово налаштовується.
Тепер після переустановки операційної системи, чи то Windows чи Linux, вам потрібно буде лише встановити додаток LastPass Password Manager і всі ваші конфіденційні дані знову з вами.
На закінчення скажу, що в браузері Google Chrome, його версія чомусь має менше налаштувань (зокрема я не знайшов, як вимкнути компактну панель інструментів для відображення менеджера на весь рядок браузера). Також згадаю, що тестування цього менеджера паролів не проводилось у Opere.
Почнемо із самого початку. Навіщо взагалі потрібні менеджери паролів? Ми щодня користуємося безліччю онлайн-сервісів: пошта, месенжери, соціальні мережі, блоги, форуми, платіжні системи, знайомства, розваги та ін. Для кожної системи потрібен окремий екаунт та свій пароль.
Використовувати для простоти той самий пароль вкрай небезпечно, оскільки, зламавши один з ваших екаунтів, спрацює принцип доміно, і зловмисники отримають доступ і до інших екаунтів. Запам'ятати безліч різних паролів у принципі неможливо. Існує варіант формування паролів за якимось відомим тільки вам принципом, але це також не завжди безпечно та зручно.
На допомогу приходять менеджери паролів – програми, які безпечно збирають і зберігають ваші паролі. Ваше завдання зводиться лише для того, щоб запам'ятати один головний пароль від самого менеджера (так званий майстер-пароль). Дуже зручно!
Саме тому останнім часом усі персональні «антивірусні комбайни» (програми класу Internet Securityі вище) забезпечуються таким функціоналом. Але такі продукти не всім підходять і не всім по кишені, тож цікаво придивитися до пристойних безкоштовним менеджерампаролів, які, як виявилось, існують.
LastPass – це повністю безкоштовний індивідуальний менеджер паролів, який призначений для створення, зберігання та керування паролями до різних інтернет-сайтів. Працювати з іншими програмами, крім браузерів LastPass, не вміє, тому далі ми будемо для ясності називати його браузерним менеджером паролів.
Отже, побачимо, що це за звір. Після встановлення програми з сайту www.lastpass.com до браузера Mozilla Firefoxта Microsoft Internet Explorerдодаються спеціальні плагіни та тулбари. Відразу скажу, що на сайті виробника вказана підтримка Google Chrome, але насправді її немає (принаймні на Windows 7 x64 та Google Chrome 5.0 не працює).
Важливою особливістю LastPass і те, що програма зберігає всі ваші паролі «хмарі», тобто. на віддаленому серверівендора у спеціальному персоніфікованому сховищі Vault. По суті LastPass – це навіть не програма, а сервіс. Це є свої великі плюси, а також великі мінуси.
Плюси полягають у тому, що ви можете користуватися паролями, що зберігаються LastPass на будь-якому комп'ютері, де є доступ в Інтернет. Не треба думати про резервування бази, експортом та імпортом на інші комп'ютери, синхронізацією тощо. діями, які зводять нанівець усю зручність від використання менеджера паролів.
Мінуси, природно, полягають у відсутності контролю за віддаленим сховищемі ризики того, що сервер або ваш головний обліковий запис (майстер-пароль) буде зламаний, а всі паролі оптом підуть на чорний ринок.
Важливо! Під час реєстрації встановіть максимально стійкий майстер-пароль, який гарантовано пам'ятатимете.
У LastPass є функція експорту збережених паролів із браузерів, що дозволяє експортувати збережені паролі із браузерів після встановлення.
Подивимося тепер програму у дії кількох прикладах. При реєстрації на будь-якому веб-сайті LastPass автоматично визначає поля паролів (за атрибутом тега ) і пропонує згенерувати та зберегти у своїй базі безпечний парольдля нього. Існує опція вибору варіанта пароля, а також тонкі налаштуваннягенерації (кількість символів та його тип).
Якщо ви вводите пароль вручну на будь-якому сайті, LastPass автоматично пропонує зберегти пароль у своїй базі даних. При необхідності можна відмовитись від збереження пароля, що актуально, наприклад, для інтернет-банкінгу (ці паролі краще не довіряти нікому та нічому).
У результаті ваш персональний LastPass Vault через якийсь час виглядатиме приблизно так. Там же за потреби можна зробити нотатки до паролів, експортувати чи імпортувати паролі тощо.
При заході на сайт, що вимагає авторизації, пароль від якого був збережений раніше, менеджер паролів запропонує залогінитися або зробить це автоматично (є спеціальна опція). Ця можливість, крім зручності, дає більше. Ви не набираєте паролі з клавіатури і мінімізуються ризики того, що їх буде перехоплено шкідливою програмою.
Налаштування LastPass цілком достатні. Можна налаштувати зовнішній виглядпрограми, функції оповіщення та деякі важливі функції безпеки (див. нижче).
Цікавою функцією LastPass є вбудований аудит надійності паролів, що використовуються. При генерації паролів їхня надійність показується на спеціальному шкалі (див. вище), але можна швидко перевірити надійність всіх паролів, включаючи старі.
Результати аналізу надійності паролів наводяться у вигляді % від ідеального, у моєму випадку вийшло майже 69% – є над чим попрацювати.
Далі наводяться деякі статистичні дані щодо середньої довжини пароля, повторних паролів, слабких паролів і т.д. Можна подивитися аналіз надійності для кожного пароля окремо у спеціальній таблиці, але зі зрозумілих причин я її наводити тут не буду:)
На закінчення можу сказати, що особисто для мене функціональність LastPass виявилася достатньою. Тестування протягом кількох місяців не виявило жодних істотних недоліків (крім відсутності підтримки Google Chrome). Більшість паролів моїх паролів пов'язані саме з веб-сервісами, і браузерний менеджер паролів оптимізує роботу з ними та суттєво економить час. Функції автоматичного логіну на сайти, генерації стійких паролів, автозаповнення форм за шаблонами, експорт/імпорт бази даних та аналізу надійності всіх паролів загалом виявляються дуже корисними.
Ще раз хочу звернути увагу на те, що збережені в LastPass паролі зберігаються на віддаленому сервері. Плюси та мінуси цього були описані мною вище. Якщо ви з якоїсь причини не довіряєте хмарним сервісам», то вам варто підшукати якийсь інший менеджер паролів.
Обговорення менеджерів паролів ведеться на нашому форумі.
Можна подивитися продукт у дії, правда з коментарями на англ. мовою.
Відповідає окремий розділ меню. Однак далеко не для всіх користувачів він зручний - без увімкненої синхронізації ці дані зберігаються локально, і якщо жорсткий дискприйде в непридатність, виникнуть непереборні проблеми з операційною системою, збережені дані для авторизації неважко втратити без можливості відновлення. Крім того, навіть при включеній синхронізації користувач прив'язує себе до конкретного браузера. Сторонні інструменти дозволяють уникнути всіх цих незручностей, зберігши особисті дані безпеки. Зокрема це стосується LastPass — доповнення з перевіреною репутацією та корисними функціями.
Основним призначенням цього доповнення є зберігання всіх паролів, які ви вводите при авторизації на сайтах, у хмарі. Завдяки цьому зовсім не обов'язково прив'язуватися до одного браузеру - достатньо встановити розширення на інший пристрій, авторизуватися під цим же обліковим записом і легко заходити на будь-які сайти, паролі для яких вже були збережені раніше. Створення свого облікового запису в Ластпас відбувається дуже просто:
- Встановіть розширення з Firefox Browser Add-ons, використовуючи пошук по сайту або посилання нижче.
- Підтвердьте інсталяцію кнопкою.
- Після цього вам знадобиться зареєструватися в ньому: натисніть на іконку LastPass, що з'явиться праворуч адресного рядка, і клацніть по кнопці "Accept".
- Відкриється Нова сторінкау веб-браузері, де потрібно пройти процес реєстрації. Для початку вкажіть діючий email. Адреса електронної пошти має бути справді робочою, щоб у разі втрати пароля від LastPass ви змогли відновити його.
- Пароль сервіс вимагає складний: від 12 символів, що містить мінімум по 1 рядковій і 1 великій літері, а також хоча б з 1 цифрою. Обов'язково вкажіть підказку, яка допоможе відновити ключ, якщо ви забудете його.
Як тільки обліковий запис буде створено, потрібно буде виконати своє перше збереження. Це працює в такий спосіб: відкрийте сайт, пароль від облікового запису якого хочете зберегти в LastPass. Пройдіть стандартну процедуру авторизації. Розширення запитатиме дозвіл на збереження пароля, підтвердіть це кнопкою "Add".
Як експеримент вийдіть з облікового запису цього сайту, і ви побачите, що навіть якщо не запам'ятовувати пароль у самому Mozilla Firefox, дані для входу будуть підставлені. За наявності кількох облікових записів від одного сайту натисніть кнопку в полі введення логіна або пароля і вибрати потрібний варіант. Різні авторизаційні дані від облікових записів стануть доступними тільки після того, як ви по черзі ввійшли в них.
Локальне шифрування
Особливістю роботи даного розширення є те, що все шифрування, яке відбувається в Ластпас, здійснюється локально з використанням унікального ключа, через що паролі навіть у зашифрованому вигляді не передаються на сервер компанії. У цій справі використовуються технології AES-256 і PBKDF2 SHA-256. Завдяки цьому користувач може не хвилюватися за введення конфіденційних відомостей на згадку про доповнення: дізнатися їх стороннім особам не вийде. Додатково здійснення кожної важливої дії супроводжується вимогою повторного введення пароля — це допомагає вберегти особисті дані від інших користувачів, які знаходяться за комп'ютером за вашої відсутності.
Особисте сховище
Кожному користувачеві, який пройшов реєстрацію, надається профіль, в якому він може керувати різними функціями. Для цього натисніть на кнопку розширення і перейдіть в "Open my Vault".
Найголовніше - тут можна переглядати всі збережені коли-небудь у LastPass паролі, сортуючи їх та розподіляючи по папках.
Для кожного пароля, якщо клацнути по кнопці гайкового ключа в плитці з ним, доступне налаштування кількох додаткових опцій: переглянути логін, пароль, додати нотатку, папку, необхідність введення майстра-пароля перед підстановкою пароля у форму авторизації, включення автоматичного входу на сайт з цими даними, відключення автозаповнення (конкретно ці логін та пароль не будуть автоматично підставлятися у відповідні поля на сторінці входу в особистий кабінетцього сайту). Навіть є можливість додати пароль до обраного та відправити його людині, якій довіряєте, поштою.
Незважаючи на назву, крім самих паролів у цьому розширенні дозволяється зберігати деякі інші дані. А саме: нотатки, адреси/номери телефонів, платіжні картки, банківські акаунти. Таким чином, ви зможете швидко отримувати доступ до будь-якої з цієї конфіденційної інформації, використовуючи комп'ютер, мобільний пристрійабо Apple Watch, де доступна програма LastPass. Те саме стосується і їх: нотатки, номери кредитних картокта ін можуть бути легко переглянуті, відсортовані, розподілені. Все це також легко редагується та видаляється, коли якась інформація виявляється зміненою чи застарілою.
Тут пропонується скористатися і другорядними можливостями, у яких ми станемо зупинятися, але частково розглянемо далі (бо вони є частиною меню розширення), зробити деякі базові налаштуванняоблікового запису. Російської мови інтерфейсу, на жаль, тут нема.
Перегляд нещодавно використаних паролів для авторизації
Цей пункт та інші викликаються через меню, відкрити яке можна натиснути на іконку розширення, як ми вже сказали вище. Тому надалі зупинятись на цьому не будемо, а просто вкажемо назви пунктів. Зараз мова піде про «Recently Used».
Тут з'явиться список останніх логінів та паролів, які використовувалися для входу на сайти. Це, до речі, зручна річ не тільки для самого власника облікового запису, але і з метою перевірки конфіденційності. Дані звідси стерти не можна на відміну від історії браузера, тому якщо хтось знаходився за вашим комп'ютером і входив без вашого відома на сайти, заглянувши в «Recently Used»ви обов'язково дізнаєтесь про це, навіть якщо історія відвідувань веб-браузера була підчищена.
Кліком по будь-якому пункту можна як перейти на сам сайт, так і відредагувати авторизаційні дані або видалити комбінацію логін/пароль з LastPass.
Перегляд персональної інформації
Раніше ми уточнювали, що крім паролів у розширення заносяться нотатки, номери карток та інші дані. Через пункт "All Items"Ви можете не тільки швидко їх переглянути, але й додати новий пункт. Це зручно, оскільки необхідність переходу до персонального кабінету відпадає. Надалі всю цю інформацію можна використовувати для швидкої реєстраціїна сайтах, оплати якихось покупок, рахунків без необхідності вводити платні відомості вручну.
Додавання персональної інформації
Ці особисті дані можна легко занести в розширення, перейшовши через меню в розділ "Add item". Тут на вибір надається одразу кілька тематичних шаблонів, куди і вноситься потрібна інформація. Частина з них не застосовна до нашої країни, проте в цілому поля актуальні для заповнення, і таким чином ви зможете внести дані про медичну страховку, права водія, паспорт і т.д. Все це доступно для перегляду через особистий кабінет.
Генерування складного пароля
Розширення пропонує користувачам створювати складні паролі, які зможуть зламати зловмисники. Перейшовши в «Generate Secure Password»Вам пропонується виставити довжину майбутнього ключа, вказати його тип (легкий для вимови, легкий для читання, з великими, малими літерами, цифрами і символами). Якщо отриманий результат не подобається, змініть його параметри або згенеруйте заново.
Додаткові опції облікового запису
Крім всіх цих можливостей, є й кілька технічних та другорядних функцій, які можуть здатися комусь корисними. У розділі меню «Account Options»ви знайдете такі додаткові параметри:
Підсумовуючи, слід сказати, що LastPass — досить функціональне розширення, яке не має аналогів за своєю користю для всіх, хто активно працює з сайтами в інтернеті. Ластпас не дуже підходить новачкам, які не бажають розбиратися в його функціях і не збираються платити за надання розширених можливостей. Після реєстрації ви отримуєте 30 днів преміум-використання в подарунок, після чого за отримання доведеться купувати PRO-версію згідно з розцінками сервісу (дивіться список опцій, які відкриваються при покупці Premium — ймовірно, вони вам просто не потрібні). Однак і для звичайного зберігання паролів LastPass також успішно задіюється: використовуючи його, ви можете легко користуватися різними браузерамиі на різних пристроях, автоматично отримуючи та керуючи авторизаційними даними скрізь, де встановлено це доповнення.
Ще влітку 2016 року фахівець Google Project Zero Тевіс Орманді (Tavis Ormandy) щиро: «Люди правда користуються цією LastPass-штукою?». Тоді Орманді виявив у коді аддону LastPass для Firefox 0-day вразливість, яка дозволяла віддалено скомпрометувати усі паролі користувача.
Тепер, майже через рік, експерт знову вирішив випробувати безпеку LastPass на міцність, і, на жаль, не можна сказати, що додаток витримав цю перевірку. Орманді пише, що виявив проблему в офіційному розширенні LastPass для браузера Chrome. Згідно з повідомленням дослідника, content_scrip розширення містить вразливість, атака на яку може призвести до компрометації всіх облікових даних, що зберігаються в додатку. Причому для реалізації атаки зловмиснику потрібно лише заманити користувача на шкідливий сайт.
Дослідник пояснює, що скрипт використовується тільки для звернення до певного домену на lastpass.com, і, якщо подивитися на його роботу ближче, це виглядає так:
Тут, як зазначає Орманді, і є помилка. Скрипт проксує неавтентифіковані віконні повідомлення розширенню, що може становити небезпеку, адже будь хто може зробити таке:
Це дасть атакуючому повний доступ і змусить LastPass виконувати RPC-команди, яких можуть бути сотні, але найнебезпечніше, звичайно, можливість копіювання та заповнення паролів. У деяких випадках це взагалі може призвести до виконання довільного коду на машині користувача, через експлуатацію openattach. Як приклад, Орманді демонструє запуск звичайного калькулятора (calc.exe).
Розробники LasPass, зважаючи на все, вже поправили проблему в Chrome-розширенні, відключивши 1min-ui-prod.service.lastpass.com. Однак деякі користувачі відзначають, що для них сервер, як і раніше, працює, і вразливість все ще актуальна. Ймовірно, користувачам LastPass для Chrome варто поки що відключити розширення та дочекатися виходу повноцінного виправлення, оскільки версія 4.1.42, датована на 14 березня 2017 року, ще була вразлива.
Варто зазначити, що минулого тижня Тевіс Орманді знайшов ще один дуже схожий баг в аддоні LastPass для Firefox. Вразливість так само дозволяє витягти всі паролі користувача, якщо той відвідає шкідливий сайт.
Ця проблема досі не виправлена. Розробники LastPass вже підготували патч, але виправлена версія 3.3.2 поки що проходить розгляд фахівців Mozilla. Також автори LastPass підкреслили, що гілка 3.x все ж таки вважається застарілою, і користувачам рекомендується перейти на більш безпечну гілку 4.x.
Але проблеми LastPass не закінчуються навіть у цьому. Сьогодні, 22 березня 2017 року, Тевіс Орманді попередив, що в аддоні LastPass для Firefox міститься ще один баг, який дозволяє красти чужі паролі для будь-якого домену. Причому цього разу вразлива більш сучасна та безпечна версія 4.1.35. Подробиці експерт обіцяє оприлюднити найближчим часом.
я знайшов інший bug в LastPass 4.1.35 (unpatched), дозволяючи писати слова для будь-якого будинку. Full report will be on the way shortly. pic.twitter.com/9VkV7R3vud