Открыть сервис

LastPass

LastPass — это проприетарный менеджер паролей, работающий по модели «программное обеспечение как услуга» (SaaS), разработанный одноимённой американской компанией (LogMeIn, Inc., ныне подразделение GoTo Group). Сервис предназначен для хранения, генерации и автоматического заполнения учётных данных (логинов, паролей, форм), а также для хранения защищённых заметок и цифровых документов в зашифрованном облачном хранилище. Доступ к данным осуществляется через единый мастер-пароль или биометрическую аутентификацию.

История

Основание и ранние годы

Сервис был основан в 2008 году тремя разработчиками — Джо Сьеррой, Дэвидом Барретом и Ахиллом Айером. Изначально проект назывался «LastPass» и позиционировался как бесплатное расширение для браузера, решающее проблему запоминания множества паролей. Первая публичная бета-версия вышла в августе 2008 года. Ключевым отличием от существовавших на тот момент аналогов (например, KeePass) была облачная синхронизация и поддержка всех основных браузеров.

Приобретение компанией LogMeIn

В 2015 году компания LogMeIn (впоследствии переименованная в GoTo) объявила о приобретении LastPass за 110 миллионов долларов США. Сделка была завершена в октябре того же года. После приобретения была изменена модель монетизации: с 2016 года бесплатная версия была ограничена одним типом устройства (только ПК или только мобильное устройство), а полнофункциональный доступ стал платным. В 2021 году GoTo объявила о намерении выделить LastPass в самостоятельную компанию, однако этот процесс был приостановлен.

Инциденты безопасности

Сервис неоднократно подвергался критике из-за уязвимостей и утечек данных. Наиболее значимые инциденты:

  • 2015 год: Обнаружена уязвимость в расширении для браузера, позволявшая сайтам перехватывать пароли из автозаполнения. Уязвимость была исправлена в течение нескольких дней.
  • 2021 год: В августе 2021 года компания сообщила, что в результате атаки были украдены исходные коды и некоторые проприетарные данные, но пароли пользователей остались зашифрованными.
  • 2022 год: В ноябре 2022 года LastPass объявила о взломе стороннего облачного хранилища (Amazon Web Services), в котором хранились резервные копии данных пользователей. В ходе расследования, завершившегося в начале 2023 года, было установлено, что злоумышленники получили доступ к зашифрованным хранилищам паролей, а также к некоторым метаданным (URL-адреса, имена пользователей, адреса электронной почты). Компания подчеркнула, что для расшифровки хранилищ злоумышленникам потребовался бы мастер-пароль каждого пользователя, который не хранится на серверах. Тем не менее, инцидент привёл к массовому оттоку пользователей и судебным искам.

Архитектура и безопасность

Модель шифрования

LastPass использует архитектуру «нулевого знания» (zero-knowledge), при которой серверы компании не имеют доступа к содержимому хранилищ пользователей. Шифрование и дешифрование данных происходят исключительно на стороне клиента (в браузере или приложении). Основные криптографические алгоритмы:

  • Шифрование хранилища: AES-256 (Advanced Encryption Standard) с длиной ключа 256 бит в режиме Cipher Block Chaining (CBC).
  • Хеширование мастер-пароля: PBKDF2 (Password-Based Key Derivation Function 2) с 100 100 итерациями (по состоянию на 2023 год). Для хеширования на стороне сервера используется SHA-256.
  • Генерация ключа: Мастер-пароль пользователя проходит через функцию PBKDF2, результатом которой является ключ шифрования. Этот ключ никогда не передаётся на сервер.

Двухфакторная аутентификация

Сервис поддерживает несколько методов двухфакторной аутентификации (2FA):

Уязвимости и критика

Несмотря на заявления о «нулевом знании», архитектура LastPass неоднократно подвергалась критике со стороны экспертов по безопасности:

  • Расшифровка URL: В 2022 году исследователи обнаружили, что URL-адреса сайтов, хранящиеся в зашифрованном виде, могут быть расшифрованы на стороне клиента без ведома пользователя для функции автозаполнения. Это создаёт потенциальный вектор атаки.
  • Зависимость от мастер-пароля: Слабость мастер-пароля является единственной точкой отказа. При его компрометации злоумышленник может получить доступ ко всем данным.
  • Проприетарность кода: В отличие от открытых менеджеров паролей (например, Bitwarden), исходный код LastPass не является полностью открытым, что затрудняет независимый аудит.

Функциональные возможности

Основные функции

  • Хранение паролей: Возможность сохранения неограниченного количества паролей (в платной версии).
  • Автозаполнение: Автоматическое заполнение форм входа, регистрации и платежных данных на веб-сайтах и в приложениях.
  • Генератор паролей: Встроенный инструмент для создания сложных, случайных паролей с настраиваемой длиной и набором символов.
  • Защищённые заметки: Хранение текстовой информации, номеров банковских карт, паспортных данных и других конфиденциальных записей.
  • Цифровой кошелёк: Хранение данных кредитных карт для быстрой оплаты в интернете.
  • Общий доступ: Возможность предоставления доступа к отдельным паролям или папкам другим пользователям (только в платных версиях).

Платформы и интеграции

LastPass доступен в виде:

  • Расширений для браузеров: Chrome, Firefox, Safari, Edge, Opera, Brave.
  • Десктопных приложений: Windows, macOS, Linux.
  • Мобильных приложений: iOS, Android.
  • Командных решений: LastPass Business, LastPass Teams (с централизованным управлением, политиками безопасности и отчётами).

Бизнес-модель и тарифы

Бесплатная версия (Free)

По состоянию на 2023 год бесплатная версия включает:

  • Неограниченное количество паролей.
  • Доступ на одном типе устройства (например, только на компьютере или только на телефоне).
  • Одно устройство для синхронизации.
  • Базовую двухфакторную аутентификацию.
  • Ограниченную поддержку.

Платные версии (Premium, Families, Business)

  • LastPass Premium: Добавляет синхронизацию между неограниченным количеством устройств, приоритетную техническую поддержку, расширенную 2FA, 1 ГБ зашифрованного файлового хранилища.
  • LastPass Families: Включает до 6 лицензий Premium, общий доступ к папкам и централизованное управление семейными данными.
  • LastPass Business: Предназначен для организаций. Включает управление пользователями, политики безопасности, интеграцию с Active Directory, отчёты о безопасности, единый вход (SSO) для корпоративных приложений.

Рынок и конкуренты

LastPass является одним из старейших и наиболее узнаваемых менеджеров паролей на рынке. По данным на 2022 год, сервис насчитывал более 30 миллионов пользователей. Основными конкурентами являются:

  • 1Password — проприетарный менеджер с фокусом на безопасность и интерфейс.
  • Bitwarden — открытый менеджер паролей с бесплатной версией, не уступающей по функционалу платным аналогам.
  • Dashlane — сервис с расширенными функциями (включая VPN и мониторинг даркнета).
  • KeePass — бесплатный менеджер с открытым исходным кодом, не использующий облачную синхронизацию.
  • Встроенные менеджеры браузеров (Google Password Manager, iCloud Keychain, Microsoft Edge Password Monitor) — базовые решения, встроенные в операционные системы и браузеры.

Критика и инциденты

Утечка 2022 года

Наиболее серьёзный инцидент в истории компании произошёл в августе 2022 года, когда злоумышленники получили доступ к стороннему облачному хранилищу (AWS S3) с резервными копиями данных. В результате утечки были скомпрометированы:

  • Зашифрованные хранилища паролей (всех пользователей).
  • Метаданные: URL-адреса сайтов, имена пользователей, адреса электронной почты, IP-адреса.
  • Данные платёжных карт (в зашифрованном виде).

Компания признала, что злоумышленники могли получить доступ к данным за период с 2012 по 2022 год. Хотя сами пароли оставались зашифрованными, утечка метаданных позволила злоумышленникам идентифицировать пользователей и потенциально проводить целевые атаки (фишинг). После инцидента LastPass ввела обязательную смену мастер-паролей для всех пользователей и увеличила число итераций PBKDF2 до 100 100.

Судебные иски

В 2023 году против LastPass и её материнской компании GoTo Group был подан коллективный иск в окружной суд США по Южному округу Калифорнии. Истцы обвиняют компанию в халатности, нарушении конфиденциальности и введении пользователей в заблуждение относительно уровня безопасности сервиса. На момент 2024 года судебное разбирательство продолжалось.

Примечания

  • LastPass не является сертифицированным по стандарту FIPS 140-2 продуктом, хотя использует алгоритмы, одобренные NIST.
  • В 2021 году компания объявила о прекращении поддержки приложений для Windows и macOS, переведя пользователей на веб-версию и расширения браузера. Однако после критики со стороны пользователей поддержка десктопных приложений была временно восстановлена.

Источники

  • Официальный сайт LastPass (раздел «Безопасность» и «Архитектура»).
  • Отчёт компании LogMeIn, Inc. за 2015 год (приобретение LastPass).
  • Публичные заявления LastPass об инцидентах безопасности (2021, 2022, 2023).
  • Материалы расследования утечки 2022 года (исследование компании Mandiant).
  • Статья «LastPass breach: what you need to know» (Wired, 2023).
  • Коллективный иск «In re LastPass Data Breach Litigation» (2023, Южный округ Калифорнии).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →