LastPass
LastPass — это проприетарный менеджер паролей, работающий по модели «программное обеспечение как услуга» (SaaS), разработанный одноимённой американской компанией (LogMeIn, Inc., ныне подразделение GoTo Group). Сервис предназначен для хранения, генерации и автоматического заполнения учётных данных (логинов, паролей, форм), а также для хранения защищённых заметок и цифровых документов в зашифрованном облачном хранилище. Доступ к данным осуществляется через единый мастер-пароль или биометрическую аутентификацию.
История
Основание и ранние годы
Сервис был основан в 2008 году тремя разработчиками — Джо Сьеррой, Дэвидом Барретом и Ахиллом Айером. Изначально проект назывался «LastPass» и позиционировался как бесплатное расширение для браузера, решающее проблему запоминания множества паролей. Первая публичная бета-версия вышла в августе 2008 года. Ключевым отличием от существовавших на тот момент аналогов (например, KeePass) была облачная синхронизация и поддержка всех основных браузеров.
Приобретение компанией LogMeIn
В 2015 году компания LogMeIn (впоследствии переименованная в GoTo) объявила о приобретении LastPass за 110 миллионов долларов США. Сделка была завершена в октябре того же года. После приобретения была изменена модель монетизации: с 2016 года бесплатная версия была ограничена одним типом устройства (только ПК или только мобильное устройство), а полнофункциональный доступ стал платным. В 2021 году GoTo объявила о намерении выделить LastPass в самостоятельную компанию, однако этот процесс был приостановлен.
Инциденты безопасности
Сервис неоднократно подвергался критике из-за уязвимостей и утечек данных. Наиболее значимые инциденты:
- 2015 год: Обнаружена уязвимость в расширении для браузера, позволявшая сайтам перехватывать пароли из автозаполнения. Уязвимость была исправлена в течение нескольких дней.
- 2021 год: В августе 2021 года компания сообщила, что в результате атаки были украдены исходные коды и некоторые проприетарные данные, но пароли пользователей остались зашифрованными.
- 2022 год: В ноябре 2022 года LastPass объявила о взломе стороннего облачного хранилища (Amazon Web Services), в котором хранились резервные копии данных пользователей. В ходе расследования, завершившегося в начале 2023 года, было установлено, что злоумышленники получили доступ к зашифрованным хранилищам паролей, а также к некоторым метаданным (URL-адреса, имена пользователей, адреса электронной почты). Компания подчеркнула, что для расшифровки хранилищ злоумышленникам потребовался бы мастер-пароль каждого пользователя, который не хранится на серверах. Тем не менее, инцидент привёл к массовому оттоку пользователей и судебным искам.
Архитектура и безопасность
Модель шифрования
LastPass использует архитектуру «нулевого знания» (zero-knowledge), при которой серверы компании не имеют доступа к содержимому хранилищ пользователей. Шифрование и дешифрование данных происходят исключительно на стороне клиента (в браузере или приложении). Основные криптографические алгоритмы:
- Шифрование хранилища: AES-256 (Advanced Encryption Standard) с длиной ключа 256 бит в режиме Cipher Block Chaining (CBC).
- Хеширование мастер-пароля: PBKDF2 (Password-Based Key Derivation Function 2) с 100 100 итерациями (по состоянию на 2023 год). Для хеширования на стороне сервера используется SHA-256.
- Генерация ключа: Мастер-пароль пользователя проходит через функцию PBKDF2, результатом которой является ключ шифрования. Этот ключ никогда не передаётся на сервер.
Двухфакторная аутентификация
Сервис поддерживает несколько методов двухфакторной аутентификации (2FA):
- Аппаратные ключи (FIDO U2F, YubiKey).
- Приложения-аутентификаторы (Google Authenticator, Microsoft Authenticator, Authy).
- SMS-коды (менее безопасный метод).
- Биометрическая аутентификация (отпечаток пальца, Face ID).
Уязвимости и критика
Несмотря на заявления о «нулевом знании», архитектура LastPass неоднократно подвергалась критике со стороны экспертов по безопасности:
- Расшифровка URL: В 2022 году исследователи обнаружили, что URL-адреса сайтов, хранящиеся в зашифрованном виде, могут быть расшифрованы на стороне клиента без ведома пользователя для функции автозаполнения. Это создаёт потенциальный вектор атаки.
- Зависимость от мастер-пароля: Слабость мастер-пароля является единственной точкой отказа. При его компрометации злоумышленник может получить доступ ко всем данным.
- Проприетарность кода: В отличие от открытых менеджеров паролей (например, Bitwarden), исходный код LastPass не является полностью открытым, что затрудняет независимый аудит.
Функциональные возможности
Основные функции
- Хранение паролей: Возможность сохранения неограниченного количества паролей (в платной версии).
- Автозаполнение: Автоматическое заполнение форм входа, регистрации и платежных данных на веб-сайтах и в приложениях.
- Генератор паролей: Встроенный инструмент для создания сложных, случайных паролей с настраиваемой длиной и набором символов.
- Защищённые заметки: Хранение текстовой информации, номеров банковских карт, паспортных данных и других конфиденциальных записей.
- Цифровой кошелёк: Хранение данных кредитных карт для быстрой оплаты в интернете.
- Общий доступ: Возможность предоставления доступа к отдельным паролям или папкам другим пользователям (только в платных версиях).
Платформы и интеграции
LastPass доступен в виде:
- Расширений для браузеров: Chrome, Firefox, Safari, Edge, Opera, Brave.
- Десктопных приложений: Windows, macOS, Linux.
- Мобильных приложений: iOS, Android.
- Командных решений: LastPass Business, LastPass Teams (с централизованным управлением, политиками безопасности и отчётами).
Бизнес-модель и тарифы
Бесплатная версия (Free)
По состоянию на 2023 год бесплатная версия включает:
- Неограниченное количество паролей.
- Доступ на одном типе устройства (например, только на компьютере или только на телефоне).
- Одно устройство для синхронизации.
- Базовую двухфакторную аутентификацию.
- Ограниченную поддержку.
Платные версии (Premium, Families, Business)
- LastPass Premium: Добавляет синхронизацию между неограниченным количеством устройств, приоритетную техническую поддержку, расширенную 2FA, 1 ГБ зашифрованного файлового хранилища.
- LastPass Families: Включает до 6 лицензий Premium, общий доступ к папкам и централизованное управление семейными данными.
- LastPass Business: Предназначен для организаций. Включает управление пользователями, политики безопасности, интеграцию с Active Directory, отчёты о безопасности, единый вход (SSO) для корпоративных приложений.
Рынок и конкуренты
LastPass является одним из старейших и наиболее узнаваемых менеджеров паролей на рынке. По данным на 2022 год, сервис насчитывал более 30 миллионов пользователей. Основными конкурентами являются:
- 1Password — проприетарный менеджер с фокусом на безопасность и интерфейс.
- Bitwarden — открытый менеджер паролей с бесплатной версией, не уступающей по функционалу платным аналогам.
- Dashlane — сервис с расширенными функциями (включая VPN и мониторинг даркнета).
- KeePass — бесплатный менеджер с открытым исходным кодом, не использующий облачную синхронизацию.
- Встроенные менеджеры браузеров (Google Password Manager, iCloud Keychain, Microsoft Edge Password Monitor) — базовые решения, встроенные в операционные системы и браузеры.
Критика и инциденты
Утечка 2022 года
Наиболее серьёзный инцидент в истории компании произошёл в августе 2022 года, когда злоумышленники получили доступ к стороннему облачному хранилищу (AWS S3) с резервными копиями данных. В результате утечки были скомпрометированы:
- Зашифрованные хранилища паролей (всех пользователей).
- Метаданные: URL-адреса сайтов, имена пользователей, адреса электронной почты, IP-адреса.
- Данные платёжных карт (в зашифрованном виде).
Компания признала, что злоумышленники могли получить доступ к данным за период с 2012 по 2022 год. Хотя сами пароли оставались зашифрованными, утечка метаданных позволила злоумышленникам идентифицировать пользователей и потенциально проводить целевые атаки (фишинг). После инцидента LastPass ввела обязательную смену мастер-паролей для всех пользователей и увеличила число итераций PBKDF2 до 100 100.
Судебные иски
В 2023 году против LastPass и её материнской компании GoTo Group был подан коллективный иск в окружной суд США по Южному округу Калифорнии. Истцы обвиняют компанию в халатности, нарушении конфиденциальности и введении пользователей в заблуждение относительно уровня безопасности сервиса. На момент 2024 года судебное разбирательство продолжалось.
Примечания
- LastPass не является сертифицированным по стандарту FIPS 140-2 продуктом, хотя использует алгоритмы, одобренные NIST.
- В 2021 году компания объявила о прекращении поддержки приложений для Windows и macOS, переведя пользователей на веб-версию и расширения браузера. Однако после критики со стороны пользователей поддержка десктопных приложений была временно восстановлена.
Источники
- Официальный сайт LastPass (раздел «Безопасность» и «Архитектура»).
- Отчёт компании LogMeIn, Inc. за 2015 год (приобретение LastPass).
- Публичные заявления LastPass об инцидентах безопасности (2021, 2022, 2023).
- Материалы расследования утечки 2022 года (исследование компании Mandiant).
- Статья «LastPass breach: what you need to know» (Wired, 2023).
- Коллективный иск «In re LastPass Data Breach Litigation» (2023, Южный округ Калифорнии).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →