Lastpass не работает в яндекс браузере

Обновлено: 05.07.2024

LastPass, как и другие подобные продукты, спроектирован в первую очередь для безопасного хранения паролей. Пароли хранятся в зашифрованных базах данных, защищённых мастер-паролем. Используя шифрование и десятки и сотни тысяч хеш-итераций, реализация защиты в менеджерах паролей искусственно замедляет доступ к зашифрованному хранилищу, снижая эффективность и привлекательность атак методом прямого перебора. В этой статье описан способ мгновенно разблокировать хранилище LastPass без использования перебора.

LastPass

LastPass был представлен в 2008 году компанией Marvasol Inc (в настоящее время — LogMeIn). На сегодняшний день LastPass входит в четвёрку самых популярных менеджеров паролей. Как и другие подобные продукты, LastPass предназначен для хранения, управления и синхронизации паролей, что помогает пользователям избежать повторного использования паролей. Благодаря автоматическому хранению и синхронизации паролей, а также генерации паролей с высокой энтропией, пользователи получают возможность использовать сложные, уникальные пароли для разных учётных записей без необходимости запоминать их все.

В семейство продуктов LastPass входят приложения для настольных операционных систем Windows и macOS, а также мобильные приложения для iOS и Android. Особый интерес представляют так называемые расширения, позволяющие устанавливать LastPass на разных платформах в виде расширения для браузера.

В рамках приложения LastPass пароли сохраняются в локальной базе данных, которая может быть зашифрована с помощью мастер-пароля, обладающего высокой энтропией и уникальностью. Используемый LastPass алгоритм шифрования вполне надёжен; для замедления потенциальных атак на мастер-пароль используются многочисленные итерации хеширования.

В то же время стойкость защиты баз данных LastPass различается на разных платформах. Так, на компьютерах под управлением Windows и macOS используется максимальное (порядка сотни тысяч) количество итераций хеширования, а на устройствах с Android используется защита с минимальным числом итераций.

С технической точки зрения пароли хранятся в базе данных в формате SQLite. Для защиты базы данных используется пароль, на основе которого вычисляется ключ шифрования. Для вычисления ключа шифрования производится (в зависимости от платформы) от 5,000 до порядка 100,000 итераций хеширования.

Извлечь базу данных LastPass проще всего с компьютера пользователя. Соответственно, для её защиты LastPass использует 100,100 итераций хеш-функции мастер-пароля. Атака методом прямого перебора демонстрирует следующую скорость работы:

Скорость перебора в 15,500 паролей в секунду с использованием аппаратного ускорителя NVIDIA GeForce 2070 достаточно типична, обеспечивая адекватный уровень защиты при условии использования достаточно стойкого мастер-пароля.

Ситуация на мобильных платформах заметно отличается. Во-первых, стойкость мастер-пароля ограничивается естественным нежеланием пользователей вводить длинные и сложные комбинации символов с экранной клавиатуры, которая усиливается фактором отсутствия для подобного рода устройств ввода моторной памяти. Во-вторых, LastPass использует меньшее количество итераций для преобразования мастер-пароля в ключ шифрования. На слабых устройствах с Android используется всего 5,000 итераций хеширования, что заметно ускоряет атаку. В результате базу данных LastPass, извлечённую из абстрактного смартфона с Android, взломать будет, скорее всего, значительно проще, чем аналогичную базу данных, полученную с жёсткого диска компьютера.

Скорость перебора мастер-пароля LastPass для устройств с Android может достигать 309,000 комбинаций в секунду на ускорителе NVIDIA GeForce 2070. Такая скорость перебора считается высокой, позволяя восстанавливать достаточно сложные пароли в разумные сроки. Так, семизначный мастер-пароль, составленный из случайной комбинации цифр и букв в обоих регистрах, но без использования спецсимволов, может быть восстановлен в течение трёх месяцев. Шестизначный же пароль, составленный из того же набора символов, получится вскрыть в течение трёх дней.

Однако наибольший интерес представляет особый случай, позволяющий мгновенно восстановить оригинальный мастер-пароль без перебора.

Расширение для браузера Chrome и Microsoft Edge Chromium

В наборе продуктов LastPass есть расширения для нескольких популярных браузеров. Расширение, предназначенное для браузера Google Chrome, также работает и в браузере Microsoft Edge Chromium.

Расширение для браузера – пожалуй, один из самых удобных способов управления паролями. Уверенное определение полей для автозаполнения, управление паролями непосредственно из браузера предоставляют пользователю весьма удобный инструмент.

Компания-разработчик LastPass утверждает, что расширение для Chrome обеспечивает тот же уровень безопасности, что и отдельное приложение:

Only you know your master password, and only you can access your vault. Your master password is never shared with LastPass. That’s why millions of people and businesses trust LastPass to keep their information safe. We protect your data at every step.

Мы выяснили, что в реальности дела обстоят иначе. В частности, если пользователь выбирает опцию «Запоминать пароль» для автоматического разблокирования защищённого хранилища, расширение LastPass для Chrome не обеспечивает должного уровня безопасности. Фактически, ни о какой безопасности в данном случае не может идти и речи.

В чём смысл использования опции «Запоминать пароль»? Так же, как и другие менеджеры паролей, LastPass автоматически блокирует доступ к защищённому хранилищу при закрытии сессии. Многие пользователи предпочитают не вводить пароль постоянно, доверяя хранение своего мастер-пароля расширению LastPass. В то же время, расширение LastPass сохраняет мастер-пароль небезопасным образом:

«Уязвимость (под названием LastPass-Vul-1) заключается в небезопасной архитектуре механизма запоминания мастер-паролей в LastPass. Как показано на рисунке 2, LastPass может запомнить мастер-пароль пользователя (с именем пользователя BCPM) в локальной базе данных SQLite [40] tableLastPassSavedLogins2, позволяя пользователю автоматически проходить аутентификацию при каждом последующем использовании LastPass».

Описанная выше уязвимость присутствует во всех известных нам версиях расширения LastPass для Chrome (на момент написания — LastPass 4.44.0 и Google Chrome 80.0.3987.146 для Windows 10 x64). Соответственно, эксперт может извлечь и расшифровать мастер-пароль пользователя и получить таким образом доступ ко всему содержимому хранилища LastPass. Способ работает при условии использования пользователем опции «Запоминать пароль».

Казалось бы, если пароль уже сохраняется в базе данных, то естественно было бы ожидать, что его можно оттуда извлечь. Тем не менее, это не так; другие продукты используют гораздо более безопасные способы, делающие подобную атаку невозможной. Рассмотрим эти способы.

Windows Data Protection API

Начнём издалека. Воспользовавшись приложением Elcomsoft Internet Password Breaker , можно моментально извлечь пароли, которые хранятся в браузере Chrome и Microsoft Edge Chromium. Казалось бы, в чём разница?

Разница в том, что извлечь пароли из Google Chrome или Edge Chromium можно лишь в том случае, если известны логин и пароль пользователя Windows или есть доступ к авторизованной сессии (разблокированному именно данным пользователем компьютеру). Если компьютер выключен, а у эксперта есть исключительно жёсткий диск или его образ (при этом пароль пользователя Windows неизвестен), то и расшифровать пароли из Chrome или Edge Chromium не удастся.

Почему не удастся?

Дело в том, как именно Chrome (и Edge Chromium; в дальнейшем это уточнение можно опускать) защищают базу данных, в которой хранятся пароли пользователя. Сама по себе база данных шифруется алгоритмом AES-256; при этом пароль шифрования (мастер-пароль) по умолчанию не используется. (Здесь, пожалуй, кроется единственное отличие механизмов защиты Chrome и Edge Chromium: если в Chrome задать пароль для синхронизации паролей пользователь сможет, то в Edge Chromium подобный функционал не предусмотрен).

Ключ шифрования базы данных с паролями хранится на том же компьютере, что и сама база данных. При этом ключ шифрования защищён при помощи Windows

Data Protection API (DPAPI), который появился ещё во времена Windows 2000. DPAPI использует AES-256 в качестве алгоритма шифрования. Для доступа к паролям из Chrome пользователь должен войти в учётную запись Windows с использованием пароля, PIN-кода или подсистемы Windows Hello. Только после этого хранилище, защищённое DPAPI, будет расшифровано.

Похожим образом дела обстоят и в системе macOS. В этой ОС используется системное защищённое хранилище, «Связка ключей». Именно в ней Chrome сохраняет ключ шифрования от базы данных с паролями пользователей. Таким образом, безопасность подсистемы хранения паролей Chrome в macOS соответствует уровню безопасности Связки ключей, который признан достаточно высоким.

Подытожим изложенное. Для доступа к паролям Google Chrome и Microsoft Edge Chromium потребуется не только образ диска или файл базы данных, но и логин и пароль пользователя системы (либо доступ к аутентифицированной сессии). «Холодная» атака, таким образом, невозможна.

Именно возможность «холодной» атаки (извлечение мастер-пароля из образа диска или просто из файла базы данных) и является отличительной чертой расширения LastPass для Chrome. Всё, что потребуется для доступа к защищённому хранилищу – это сам файл базы данных и активированная пользователем опция «Запоминать пароль».

Извлечение мастер-пароля LastPass

Для извлечения пароля воспользуемся продуктом Elcomsoft Distributed Password Recovery.

Очень важно использовать уникальные пароли на каждом сайте. Если злоумышленники украдут один пароль, то только к одному сайту они и получат доступ. Но запомнить десятки надёжных паролей сложно, а записывать их на бумаге — опасно. Вот почему мы работаем над тем, чтобы браузер помогал нам создавать, защищать и управлять паролями. И наш новый менеджер паролей всё это умеет. Попробовать его вы можете в бета-версии Яндекс.Браузера 17.11.1.

Создавать пароли теперь просто. При регистрации на сайте Браузер предложит вам достаточно длинный и стойкий пароль, который автоматически сохранится в вашем профиле. А если пароль был создан ранее, то сохранить его можно при входе на сайт.

Список всех сохранённых записей найти просто: откройте «Менеджер паролей» в главном меню Браузера. Теперь вы можете полноценно редактировать сохранённые в браузере аккаунты, список которых можно отсортировать по логину, адресу и примечанию.

Новый менеджер паролей стал не только удобнее и функциональнее, но и безопаснее. Мы переосмыслили архитектуру защиты паролей и отказались от применяемой в Chromium логики. Более подробно о недостатках предыдущего решения мы рассказали в посте на Хабрахабре. Здесь же скажем, что теперь вы можете защитить свои пароли от любопытных глаз и вредоносных программ с помощью мастер-пароля. Он нигде не хранится, поэтому только вы сможете расшифровать сохранённые пароли. Даже если злоумышленник украдет пароль от аккаунта Яндекса, он не сможет получить доступ к паролям из браузера без мастер-пароля.

Мы понимаем, что мастер-пароль можно забыть, поэтому нашли безопасный способ сбросить мастер-пароль без потери данных. Для этого Яндекс.Браузер предлагает создать запасной ключ. Он хранится в профиле, но зашифрован. Сбросить мастер-пароль с помощью этого ключа сможет только сам пользователь (потребуется подтвердить личность паролем от Яндекса) и только на том устройстве, на котором он хоть раз вводил мастер-пароль.

Попробуйте и расскажите нам о своих впечатлениях. В ближайшем будущем новый менеджер паролей станет доступен и в мобильном Яндекс.Браузере.

LastPass Password Manager
версия: 5.2.1.7318

Последнее обновление программы в шапке: 3.11.2021

Прикрепленное изображение

Прикрепленное изображение
Прикрепленное изображение


Краткое описание:
Бесплатная программа для хранения паролей.

LastPass — бесплатная(для ПК) и платная (для android) программа для хранения паролей, разработанная компанией LastPass. Она существует в виде плагина для Internet Explorer, Google Chrome, Mozilla Firefox и Apple Safari (только для Mac OS X). Также есть LastPass букмарклет для других браузеров. LastPass является выбором редакторa журнала PC Magazine как программа для хранения паролей, имеет 5-звездочный рейтинг на Firefox Add-Ons веб-сайте с 126 рецензиями, и о ней писали на разных популярных блогах, включая Download Squad, Lifehacker и Makeuseof. Пароли в LastPass защищены мастер-паролем и хранятся локально и могут быть синхронизированны с любым другим браузером. LastPass также имеет заполнитель форм, что позволяет автоматизировать ввод паролей и заполнение форм. Плагин еще поддерживает генерацию паролей, обмен сайтов и журналированье сайтов.

Вы можете импортировать и экспортировать данные из многих известных систем хранения паролей (таких, как: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox and Internet Explorer’s built-in password manager). Пароли в LastPass защищены мастер-паролем и хранятся локально и могут быть синхронизированны с любым другим браузером.

LastPass собирает пароли, которые не «видят» другие менеджеры паролей, в том числе многие AJAX-формы, и позволяет легко создавать надежные пароли.

LastPass также предлагает премиум-обновление, которое включает поддержку мобильных приложений (iPhone, BlackBerry, Windows Mobile, Android, WebOS (Palm), Symbian), а также дополнительные опции и приоритетную техническую поддержку в случае возникновения каких-либо проблем.

Возможности
* Один главный пароль.
* Синхронизация браузеров.
* Генерация сильных паролей.
* Шифрование паролей.
* Заполнитель форм.
* Импорт и экспорт паролей.
* Переносная.
* Мобильный доступ

Требуется Android: 4.0.3+
Русский интерфейс: Да, в старых версиях

Прикрепленный файл

Версия: 3.3.15: com.lastpass.lpandroid.ver.3.3.15.build.3315.apk ( 5.81 МБ )

Прикрепленный файл

Версия: 3.3.11: com.lastpass.lpandroid.ver.3.3.11.build.3311.apk ( 5.81 МБ )

Прикрепленный файл

Версия: 3.3.2: com.lastpass.lpandroid.apk ( 5.47 МБ )

Прикрепленный файл

Версия: 3.3.0: LastPass_Password_Mgr_Premium__3.3.0.apk ( 5.45 МБ )

Причина редактирования: Обновление: новая версия 5.2.1.7318 от 29/10/2021 (vladmira)

Ломанная вряд ли появится т.к. она постоянно обращается на свой сервер за вашими паролями.

А это триальная версия на 7 дней.

Вы хоть ознакомились бы как программа работает.


Вы головой-то подумайте. Человек вам все правильно говорит. Никакой гарантии сам Lastpass вам не дает. А бабло хочет. И если в настольной версии подключение бесплатно для физических лиц (и я даже сам храню там ненужные особо пароли) - то здесь это просто попытка поднять денег на сервисе, который не гарантирует безопасности.

Вы оба нихера не шарите в вопросе, вряд ли читали lastpass terms and conditions, но очень обеспокоены за как-бы "своё" бабло.

1. "LastPass является американской компанией, тем не менее английский вариант этого документа является действительным".

Это бред. Естественно, он действителен. В рамках страны, где находится сервер. В США. А в России это соглашение для начала просто не работает. Так что это в принципе туфта для граждан не Америки. Но продолжим.

2. "You are responsible for maintaining the security of your account, and you are fully responsible for all activities that occur under the account and any other actions taken in connection with it."

Ага, значит ТОЛЬКО Я отвечаю за безопасность своего аккаунта? А как же гарантии LastPass? Т.е. ребята из LastPass всегда могут сказать мне - чувак, это не мы, это ты сам свои пароли кому-то слил, потому что не защищал свой акк. Да, сильно.

3. "You must not use your account in a misleading or unlawful manner, including in a manner intended to trade on the name or reputation of others, and LastPass may change or remove any description or keyword that it considers inappropriate or unlawful, or otherwise likely to cause LastPass liability."

А где в договоре написано, что сам LastPass считает неуместным? Нигде. Соответственно, неуместно все, что им не понравится. И они имеют право стереть ваш акк тогда, когда захотят. Про незаконность - то же самое. Законы в США и в России разные.

4. "The Website may contain content that is offensive, indecent, or otherwise objectionable, as well as content containing technical inaccuracies, typographical mistakes, and other errors."

Шик. "Сайт может содержать все что угодно, хоть порнуху, хоть рецепт бомбы. За орфографию мы например тоже не отвечаем". Это очень серьезная, видимо, контора, раз у нее ТАКОЕ написано в "terms and conditions".

5. "LastPass reserves the right, at its sole discretion, to modify or replace any part of this Agreement. It is your responsibility to check this Agreement periodically for changes. "

Т.е. если вы будете делать что-то согласно правилам, потом Lastpass убьет ваш акк, а вы подадите на них в суд - они просто могут в одностороннем порядке поменять правила и вы совершенно законно окажетесь не у дел.

6. "LastPass may terminate your access to all or any part of the Website at any time, with or without cause, with or without notice, effective immediately. If you wish to terminate this Agreement or your account (if you have one), you may simply discontinue using the Website."

Вот оно. Вот это круто. "LastPass может закрыть вам доступ к любой части сайта в любое время, по поводу и без него, уведомляя вас или нет, сразу и на месте". Это пять. Вообще без комментариев.

Ну это стандартно. LastPass вам ничего не должен, ничего не знает, и вообще может делать что хочет.

И это только около половины соглашения. pmaker, в следующий раз внимательнее читайте соглашения, прежде чем тренькать о том, о чем имеете весьма смутное представление. Остальным я советую внимательно задуматься о хранении своих паролей у "чужого дяди". Это не всегда так радужно, как рассказывают. Сам я , повторюсь, также использую этот сервис, четко представляю свои права при его использовании и поэтому важные пароли ни в коем случае там не храню.

Это стандартный американский корпоративный текст, фактически калька с тысяч подобных пользовательских соглашений. Иначе у них будут кучи исков в стиле "ваше одеяло не смогло защитить меня от торнадо". Американская реальность.

Иди лучше Гугл покритикуй, их лицензионное соглашение конспирологов типа тебя убивает наповал уже на пятом пункте. :D

Если после Гугла выживешь, свои комментарии тоже напиши, я пацанам покажу.

Первым и самым простым вариантом является стандартный менеджер паролей Chrome, Firefox, Opera или Vivaldi. Практически все современные браузеры умеют сохранять и автоматически вставлять в нужные поля логины и пароли. Да, этот вариант не назовёшь слишком функциональным, так как здесь отсутствуют некоторые дополнительные возможности вроде генератора надёжных комбинаций и защищённых заметок. Зато пользоваться можно совершенно бесплатно, и есть синхронизация между различными устройствами, которая работает, разумеется, только в том случае, если вы везде используете один и тот же браузер.

+ Простота, доступность, бесплатность. Синхронизация между различными устройствами.
− Низкая функциональность и защищённость.

1Password

1Password существует уже более восьми лет, но всегда оставался в тени LastPass из-за довольно высокой стоимости. Он умеет хранить пароли, данные банковских карт, лицензии на программное обеспечение и другую конфиденциальную информацию в защищённом виртуальном хранилище. Это хранилище может располагаться на удалённом сервере или локальном устройстве. Есть возможность синхронизации через Wi-Fi, Apple iCloud или Dropbox. Особое внимание разработчики уделили защищённости и алгоритмам шифрования, благодаря чему этот сервис не был замечен в громких скандалах.

+ Надёжность, кросс-платформенность, функциональность, синхронизация.
− Высокая цена.

KeePass

Если вы ищете бесплатное решение и не боитесь трудностей, то обязательно попробуйте KeePass. Это полностью открытый проект, созданный независимыми разработчиками. Он обладает огромным количеством возможностей благодаря наличию целого арсенала различных дополнений, плагинов и вспомогательных утилит. Однако взамен придётся смириться с типичными недостатками свободного программного обеспечения в виде высокой сложности освоения и нестабильности некоторых элементов.

Созданная в KeePass база паролей хранится в виде одного файла, который может быть размещён на жёстком диске или в каком-либо облачном сервисе. В последнем случае можно реализовать синхронизацию данных между разными устройствами. Существуют плагины для популярных браузеров, которые с разной степенью успеха обеспечивают подстановку логинов и паролей на нужных страницах. Кроме того, KeePass можно использовать и на мобильных устройствах.

+ Бесплатность, функциональность, защищённость.
− Решение для гиков, которые смогут подобрать и правильно настроить все необходимые компоненты.

Dashlane

Этот сервис хранения паролей появился сравнительно недавно, но уже успел проявить себя с положительной стороны. Dashlane отличается приятным внешним видом, хорошей функциональностью и простотой использования. База паролей здесь хранится в облаке в зашифрованном виде, имеется синхронизация между клиентами для различных платформ (Mac, PC, iOS и Android). Среди дополнительных возможностей необходимо выделить функцию автоматического заполнения форм, генератор паролей, возможность смены паролей в один клик и удобные инструменты для онлайн-шопинга. Но всё это великолепие может для вас померкнуть, если вы захотите использовать синхронизацию данных между различными устройствами. Для этого вам придётся купить годовую подписку стоимостью 39,99 доллара, что, согласитесь, немало.

+ Внешний вид, надёжность, кросс-платформенность, цифровой бумажник.
− Высокая стоимость, отсутствие возможности локального хранения паролей.

А какой менеджер паролей выберете вы, если LastPass всё-таки станет платным?

Читайте также: