Kolejny wyciek danych z LastPass. Podpowiadamy, jaki menedżer haseł wybrać zamiast niego

Po raz drugi w tym roku LastPass poinformował o naruszeniu bezpieczeństwa danych użytkowników korzystających z menedżera haseł. Do pierwszego doszło w sierpniu, natomiast ten najnowszy miał miejsce 30 listopada. Przyjrzyjmy się bliżej szczegółom zdarzenia, a jeśli korzystacie z LastPass i niepokoicie się o bezpieczeństwo swoich danych, na końcu artykułu znajdziecie trzy alternatywy dla tego menedżera haseł.
Kolejny wyciek danych z LastPass. Podpowiadamy, jaki menedżer haseł wybrać zamiast niego

Do sierpniowego przypadku naruszenia zabezpieczeń LastPass doszło po tym, jak nieupoważniona osoba trzecia uzyskała dostęp do środowiska programistycznego przy pomocy przejętego konta programisty. Wedle udzielonych wówczas informacji, doszło do naruszenia bezpieczeństwa, w którym hakerzy uzyskali dostęp do zastrzeżonych informacji technicznych i kodu źródłowego. Od razu wszczęto dochodzenie i wdrożono środki mające poprawić zabezpieczenia, by uniknąć takich sytuacji w przyszłości. Warto też wspomnieć, że LastPass zapewnił wtedy:

Po wszczęciu natychmiastowego dochodzenia nie widzieliśmy żadnych dowodów na to, że incydent ten wiązał się z dostępem do danych klientów lub zaszyfrowanych sejfów haseł

Wygląda jednak na to, że poprawione po sierpniowym incydencie zabezpieczenia okazały się niewystarczające, bo 30 listopada doszło do kolejnego naruszenia bezpieczeństwa danych

Dyrektor generalny LastPass, Karim Toubba poinformował, że znów doszło do kradzieży danych, niestety tak jak ostatnio, ograniczono się jedynie do lakonicznej wiadomości, niezawierającej żadnych konkretów:

Niedawno wykryliśmy nietypową aktywność w usłudze przechowywania w chmurze innej firmy, która jest obecnie udostępniana zarówno przez LastPass, jak i jego podmiot stowarzyszony, GoTo. Natychmiast rozpoczęliśmy dochodzenie

Istotniejsza jest jednak dla nas druga część komunikatu, z której dowiadujemy się, że jest to poniekąd kontynuacja sierpniowego ataku, co jasno wskazuje, że przedsięwzięte wówczas kroki były niewystarczające.

hasła
Hasła
Ustaliliśmy, że nieupoważniona osoba, korzystając z informacji uzyskanych podczas incydentu z sierpnia 2022 r., była w stanie uzyskać dostęp do niektórych elementów informacji o naszych klientach. Hasła naszych klientów pozostają bezpiecznie zaszyfrowane dzięki architekturze Zero Knowledge LastPass.

Co to w takim razie oznacza dla użytkowników LastPass? Mimo iż firma zapewnia, że nie doszło do wycieku haseł, trudno w takim wypadku czuć się bezpiecznie, przechowując w usłudze dane logowania do wielu naszych kont. Drugi incydent w ciągu zaledwie kilku miesięcy, na dodatek połączony z tym pierwszym, nie wpływa na poczucie bezpieczeństwa. W końcu nic nie gwarantuje, że za kilka miesięcy sytuacja się nie powtórzy.

Czytaj też: Hasło “hasło” nadal na topie. Podpowiadamy, jak wymyślić hasło, którego nie złamie trzylatek

Ponadto warto pamiętać, że dochodzenie jest w toku, więc nie znamy jeszcze wszystkich szczegółów i być może naruszenie było poważniejsze, niż na razie poinformowano. LastPass zaleca więc szczególną ostrożność, stosowanie uwierzytelniania wieloskładnikowego i aktualizację zaufanych urządzeń.

My tymczasem podrzucamy wam trzy inne menedżery haseł, które mogą być dobrą alternatywą dla LastPass

Bitwarden

To menedżer haseł polecany przez wiele firm zajmujących się cyberbezpieczeństwem. Oferuje nieograniczony, darmowy dostęp do generowania, przechowywania i automatycznego udostępniania haseł na wszystkich urządzeniach i popularnych przeglądarkach. Współpracuje z systemem Windows, MacOS, Linux, Android, iPhone i iPad, a rozszerzenia dostępne są dla przeglądarek Chrome, Firefox, Safari, Edge, Opera, Vivaldi, Brave i Tor.  Dla osób, które chcą uzyskać dostęp do większej liczby funkcjonalności, takich jak udostępnianie haseł, loginów i innych informacji zaufanym osobom czy 1GB miejsca na zaszyfrowanej pamięci, można zdecydować się na wykupienie subskrypcji premium, która kosztuje 10 dolarów rocznie.

KeePass

To kolejny darmowy menedżer haseł, który pozwala na przechowywanie poufnych informacji w bazie danych, zabezpieczonej hasłem właściciela. To spore ułatwienie, bo przy pomocy jednego hasła możemy otrzymać dostęp do całej bazy danych. Nie zabrakło tutaj generatora haseł, możliwości tworzenia automatycznych kopii zapasowych danych, importu PIN-ów. Z KeePass można korzystać na Windowsie, Linuksie i Macu, a także na smartfonach z Androidiem i iOS. Daje też możliwość integracji z dowolną przeglądarką internetową. Dzięki temu można wymieniać dane pomiędzy urządzeniami i mieć dostęp do swoich haseł niezależnie od urządzenia. Minusem tego rozwiązania może być fakt, że przeznaczony jest on dla bardziej zaawansowanych użytkowników.

1Password

Jeśli natomiast jesteś skłonny zapłacić za bezpieczeństwo swoich haseł, możesz zainteresować się menedżerem haseł 1Password. Można go wypróbować w ramach 14-dniowego okresu próbnego, po którym trzeba juz zapłacić. Koszt indywidualnej subskrypcji wynosi niecałe 36 dolarów rocznie i oprócz podstawowych funkcjonalności oferuje 1 GB miejsca na dokumenty oraz opcjonalne uwierzytelnianie dwuskładnikowe za pośrednictwem Yubikey dla dodatkowego bezpieczeństwa. 1Password współpracuje z systemami Windows, MacOS, Linux, Chrome OS, Android, iPhone i iPad, a rozszerzenia dostępne są dla przeglądarek Chrome, Firefox, Safari, Edge i Opera.