À l'été 2016, le spécialiste de Google Project Zero Tavis Ormandy est sincère: "Les gens utilisent-ils vraiment ce truc LastPass?" Puis Ormandy a découvert une vulnérabilité dans le code de l'add-on LastPass pour Firefox 0-day, qui lui permettait de compromettre à distance tous les mots de passe des utilisateurs.
Aujourd'hui, près d'un an plus tard, l'expert a décidé de mettre la sécurité de LastPass à l'épreuve et, malheureusement, on ne peut pas dire que l'application ait réussi ce test. Ormandy écrit qu'il a trouvé un problème dans l'extension officielle LastPass pour navigateur Chrome... Selon le chercheur, le content_scrip de l'extension contient une vulnérabilité, une attaque sur laquelle pourrait conduire à la compromission de tous les identifiants stockés dans l'application. De plus, pour mettre en œuvre une attaque, un attaquant n'a qu'à attirer un utilisateur vers un site malveillant.
Le chercheur explique que le script n'est utilisé que pour accéder à un domaine spécifique sur lastpass.com, et si vous regardez de plus près comment cela fonctionne, cela ressemble à ceci:
C'est là, comme le note Ormandy, que réside l'erreur. Le script renvoie les messages de fenêtre non authentifiés à l'extension, ce qui peut être dangereux, car tout le monde peut effectuer les opérations suivantes:
Cela donnera à l'attaquant un accès complet et forcera LastPass à exécuter des commandes RPC, dont il peut y en avoir des centaines, mais le plus dangereux, bien sûr, est la possibilité de copier et de remplir les mots de passe. Dans certains cas, cela peut même conduire à l'exécution de code arbitraire sur la machine de l'utilisateur, via l'opération openattach. A titre d'exemple, Ormandy montre le lancement d'une calculatrice classique (calc.exe).
Les développeurs LasPass, apparemment, ont déjà résolu le problème dans l'extension Chrome en désactivant 1min-ui-prod.service.lastpass.com. Cependant, certains utilisateurs notent que le serveur fonctionne toujours pour eux et que la vulnérabilité est toujours d'actualité. Les utilisateurs de LastPass pour Chrome devraient probablement désactiver l'extension pour le moment et attendre le correctif complet, car la version 4.1.42, datée du 14 mars 2017, était toujours vulnérable.
Il convient de noter que Tavis Ormandy a trouvé un autre bogue très similaire dans le module complémentaire LastPass Firefox la semaine dernière. La vulnérabilité de la même manière vous permet d'extraire tous les mots de passe de l'utilisateur s'il visite un site malveillant.
Ce problème n'a pas encore été résolu. Les développeurs LastPass ont déjà préparé un patch, mais la version révisée 3.3.2 est toujours en cours d'examen par les spécialistes de Mozilla. De plus, les auteurs de LastPass ont souligné que la branche 3.x est toujours considérée comme obsolète et que les utilisateurs sont encouragés à passer à la branche 4.x plus sûre.
Mais les problèmes de LastPass ne s'arrêtent même pas là. Aujourd'hui, 22 mars 2017, Tavis Ormandy a averti que le module complémentaire LastPass pour Firefox contient un autre bogue qui vous permet de voler les mots de passe d'autres personnes pour n'importe quel domaine. Et cette fois, la version 4.1.35 plus moderne et sécurisée est vulnérable. L'expert promet de publier les détails dans un proche avenir.
J'ai trouvé un autre bogue dans LastPass 4.1.35 (non corrigé), permet de voler des mots de passe pour n'importe quel domaine. Le rapport complet sera bientôt disponible. pic.twitter.com/9VkV7R3vud
Rencontrez LastPass, l'un des meilleurs programmes pour stocker les mots de passe, distribué comme un seul installateur de plugin pour Internet Explorer, Google Chrome, Mozilla Firefox, Opera et Apple Safari développés par LastPass. Les mots de passe de LastPass sont protégés par un mot de passe principal, sont stockés localement et peuvent être synchronisés avec n'importe quel autre navigateur. LastPass dispose également d'un remplisseur de formulaire qui vous permet d'automatiser la saisie du mot de passe et le remplissage du formulaire. Le plugin prend en charge la génération de mots de passe, le partage de données, la journalisation des connexions au site, la création de notes sécurisées et bien plus encore. Télécharger LastPass au dessous de.
Un mot de passe principal (la devise sur le site est "Le dernier mot de passe à retenir!").
Synchronisation des navigateurs.
Générer des mots de passe forts.
Crypter les mots de passe.
Remplisseur de formulaire en ligne.
Importez les mots de passe d'autres gestionnaires de mots de passe et exportez-les.
Les mots de passe sont stockés dans le service cloud lastpass.com sous forme cryptée (AES-256).
Le mot de passe principal LastPass est stocké dans votre tête et lorsque vous le saisissez, tous les mots de passe sont déchiffrés à partir de la base de données (AES-256).
Les mots de passe sont transmis via une connexion sécurisée (https).
LastPass crée un hachage de votre nom d'utilisateur et de votre mot de passe, qui est la clé de l'algorithme AES.
Pour l'autorisation, le service LastPass utilise un double hachage, c'est lui qui est envoyé au serveur et est la clé de vérification pour l'autorisation.
Les noms des groupes, comptes et données sont transmis cryptés, https est utilisé partout.
LastPass collecte les mots de passe que les autres gestionnaires de mots de passe ne voient pas, y compris de nombreux formulaires AJAX, et facilite la création de mots de passe forts.
Vous pourrez importer et exporter des données à partir de nombreux systèmes de stockage de mots de passe bien connus (tels que: RoboForm, 1Password, KeePass, Password Safe, MyPasswordSafe, Sxipper, TurboPasswords, Passpack, Firefox et Internet Explorer et bien d'autres). Les mots de passe de LastPass sont protégés par un mot de passe principal et sont stockés localement et peuvent être synchronisés avec n'importe quel autre navigateur.
LastPass utilise une cryptographie forte côté client - les mots de passe laissent l'ordinateur déjà chiffré et seul l'utilisateur peut les déchiffrer. Et même si quelqu'un obtient ces données, les données cryptées sont pratiquement inutiles.
Ce que j'aime le plus, c'est que toutes les données sont stockées sur un ordinateur et un service sécurisé, synchronisées périodiquement et accessibles depuis n'importe quel ordinateur sur lequel LastPass est installé. De plus, il dispose d'une fonction très pratique pour créer des notes sécurisées et d'autres fonctions tout aussi utiles.Presque tout. Le programme fait tout par lui-même. Il vous proposera de sauvegarder le login - mot de passe, de les saisir dans les champs lors de votre prochaine visite sur la page, ou même de le saisir lui-même (si vous le souhaitez). En même temps, il génère des mots de passe dont vous n'avez pas du tout besoin de vous souvenir, et ils seront différents pour chaque ressource. Cela augmente considérablement la sécurité de l'accès sécurisé.
Si vous le souhaitez, vos secrets peuvent toujours être avec vous, où que vous travailliez et quel que soit l'ordinateur que vous utilisez. Pour ce faire, vous pouvez utiliser la version locale (LastPass Pocket) pour un lecteur flash (pour cela, il est conseillé d'exporter d'abord vos données de votre compte LastPass vers un fichier sur disque, afin de pouvoir ensuite l'ouvrir avec une version portable n'importe où, sans installer le programme principal). Tout fonctionne sans aucune restriction sur la quantité de données sauvegardées, le temps d'utilisation, gratuitement et en russe. Bien qu'il existe une version payante, avec des fonctionnalités un peu plus avancées, nous n'en parlons pas.
La procédure d'installation du programme et d'enregistrement d'un compte LastPass est assez simple, il vous suffit d'accepter les paramètres par défaut, et l'installateur vous proposera de désactiver les gestionnaires de mots de passe dans les navigateurs installés en raison de leur manque de fiabilité. Il est également très facile de créer un mot de passe principal (ici vous serez présenté avec des options et montré la résistance de votre mot de passe principal au craquage). De plus, les développeurs recommandent de changer périodiquement votre mot de passe principal pour empêcher tout accès non autorisé à votre compte LastPass. Au tout service LastPass il n'y a pas d'accès à vos données confidentielles, dont ils mettent en garde honnêtement. Autrement dit, si vous oubliez ou perdez votre mot de passe principal, vous ne recevrez qu'un indice pour récupérer le mot de passe (et non vos mots de passe, connexions, etc.), ou vous devrez utiliser la récupération de compte.
Un gros plus de LastPass, à mon avis, est que si vous avez un compte LastPass existant (enfin, un mot de passe maître appris, bien sûr, pour vous connecter à votre compte), vous n'avez absolument rien à craindre de «tomber» ou de réinstaller le système, il vous suffit de le réinstaller LastPass et connectez-vous à votre compte, le programme fonctionnera pour vous. Il va sans dire que tous vos mots de passe, sites Web, forums, notes protégées, en général, tout ce que vous avez sauvegardé sera restauré sur le nouvel ordinateur. Les développeurs sont en alerte, mettent constamment à jour LastPass, le renforcent (et votre sécurité) et améliorent le programme, et dans les navigateurs, les extensions LastPass sont mises à jour contextesans interférer avec le travail.
Voici la description des fonctionnalités LastPass avérées, loin d'être complètes, j'espère que vous aimez le programme. Au final, je noterai qu'après avoir essayé de nombreux gestionnaires de mots de passe, payants et gratuits, j'ai longtemps opté pour LastPass en raison de sa simplicité et de sa fiabilité. Le programme est mis à jour assez souvent, à la fois sur le site officiel et les services extensions Google, Firefox, Opera et Safari, il existe une aide en ligne détaillée et une vidéo sur la configuration et l'utilisation du programme.
Développeur: Joe Siegrist
Licence: FreeWare
Langue: Multi + Russe
La taille: 59 Mo
OS: Les fenêtres
Télécharger:Prochains changements importants dans le système modules complémentaires Firefox... Dans un souci de compatibilité entre les navigateurs, les développeurs de Firefox et d'autres navigateurs ont adopté une API commune appelée WebExtensions. La prise en charge d'une API commune aidera à réduire le coût du développement multiplateforme pour les entreprises comme la nôtre qui doivent publier et maintenir des extensions pour plusieurs navigateurs. Bien que la transition vers WebExtensions apporte un certain nombre d'avantages aux développeurs, aux navigateurs et aux utilisateurs, nous voulons préparer les utilisateurs de LastPass à passer de l'ancien module complémentaire Firefox au nouveau.
Nous prenons en charge deux versions de LastPass pour Firefox depuis plus d'un an maintenant. Version stable 3.x publiée dans la boutique extensions Firefoxet la version 4.x en développement est publiée sur le site LastPass.com.
Bien que cela ait créé une certaine confusion pour les utilisateurs de LastPass, nous avons conservé l'ancienne version pour préserver l'interface utilisateur de Firefox que nos utilisateurs préféraient. En attendant, nous avons continué à développer la version 4.x conformément aux changements que Mozilla est en train d'implémenter. Mais à la lumière des dernières nouvelles selon lesquelles Mozilla passera complètement à WebExtensions d'ici la fin de 2017, nous devons dire adieu à LastPass version 3.x pour Firefox.
Nous publierons la dernière version de l'add-on le 31 mars 2017. Le déploiement de la dernière version de l'add-on à tous les utilisateurs de la version 3.3.2 est prévu dans quelques jours après sa révision par Mozilla. Vous pouvez mettre à jour manuellement le module complémentaire Firefox maintenant ou attendre mise à jour automatique en avril. Après cela, seule la version 4.x sera disponible, à la fois sur addons.mozilla.org et LastPass.com. Pour les utilisateurs du module complémentaire Firefox 3.x, cette mise à jour apportera toutes les dernières améliorations à la logique de base et aux performances de LastPass que nous avons apportées et dernière interface utilisateur. En fonction des commentaires des utilisateurs, nous vous recommandons également de vous familiariser avec la vignette de l'interface utilisateur 4.x et les vues de liste pour vous aider à choisir la meilleure vue pour vous.
Interface LastPass 3.x
Interface LastPass 4.x
En plus de mettre en œuvre les modifications apportées par Mozilla, nous sommes convaincus que la nouvelle version de notre module complémentaire Firefox est beaucoup plus facile à utiliser dans l'ensemble. Nous savons que les changements ne sont pas toujours agréables. Nous écoutons vos commentaires et apportons des modifications réfléchies et éclairées tout en maintenant une expérience LastPass cohérente sur tous les navigateurs et plates-formes.
Bien sûr, passer à nouvelle version les modules complémentaires n'affecteront en aucun cas votre compte LastPass ou les données de votre coffre-fort. Vous aurez toujours un accès complet à votre compte à tout moment depuis n'importe quel navigateur et depuis n'importe quel appareil.
Comme toujours, vous pouvez contacter notre équipe d'assistance si vous avez des questions ou des préoccupations concernant cette transition.
La première option et la plus simple est le gestionnaire de mots de passe par défaut pour Chrome, Firefox, Opera ou Vivaldi. Presque tous les navigateurs modernes sont capables d'enregistrer et d'insérer automatiquement des identifiants et des mots de passe dans les champs obligatoires. Oui, cette option ne peut pas être qualifiée de trop fonctionnelle, car elle manque de fonctionnalités supplémentaires telles qu'un générateur de combinaisons fiables et de notes protégées. Mais vous pouvez l'utiliser entièrement gratuitement, et il y a une synchronisation entre différents appareils, ce qui ne fonctionne, bien sûr, que si vous utilisez le même navigateur partout.
Simplicité, disponibilité, gratuitement. Synchronisation entre différents appareils.
- Faible fonctionnalité et sécurité.1Mot de passe
1Password existe depuis plus de huit ans, mais a toujours été éclipsé par LastPass en raison de son coût relativement élevé. Il sait stocker des mots de passe, des données cartes bancaires, licences logicielles et autres informations confidentielles dans un stockage virtuel sécurisé. Ce stockage peut être situé sur un serveur distant ou un périphérique local. Il est possible de synchroniser via Wi-Fi, Apple iCloud ou Dropbox. Les développeurs ont accordé une attention particulière aux algorithmes de sécurité et de cryptage, grâce auxquels ce service n'a pas été remarqué dans les scandales de haut niveau.
Fiabilité, multiplateforme, fonctionnalité, synchronisation.
- Prix élevé.KeePass
Si vous recherchez une solution gratuite et que vous n'avez pas peur des difficultés, assurez-vous d'essayer KeePass. Il s'agit d'un projet entièrement open source créé par des développeurs indépendants. Il a un grand nombre de possibilités grâce à la présence de tout un arsenal de divers add-ons, plugins et utilitaires auxiliaires. Cependant, en retour, vous devez accepter les inconvénients typiques du logiciel libre sous la forme d'une grande complexité de développement et d'instabilité de certains éléments.
La base de données de mots de passe créée dans KeePass est stockée sous la forme d'un fichier unique qui peut être placé sur un disque dur ou dans n'importe quel service cloud. Dans ce dernier cas, vous pouvez implémenter la synchronisation des données entre différents appareils... Il existe des plugins pour les navigateurs populaires qui, avec plus ou moins de succès, fournissent un identifiant et une substitution de mot de passe sur les pages souhaitées. De plus, KeePass est disponible sur les appareils mobiles.
Gratuit, fonctionnalité, sécurité.
- Une solution pour les geeks qui peuvent sélectionner et configurer correctement tous les composants nécessaires.Dashlane
Ce service de stockage des mots de passe est apparu relativement récemment, mais a déjà réussi à faire ses preuves du côté positif. Dashlane est agréable apparence, bonne fonctionnalité et facilité d'utilisation. La base de données de mots de passe est stockée ici dans le cloud sous une forme cryptée, il y a synchronisation entre les clients pour différentes plates-formes (Mac, PC, iOS et Android). Parmi opportunités supplémentaires Il est nécessaire de mettre en évidence la fonction de remplissage automatique des formulaires, un générateur de mots de passe, la possibilité de changer les mots de passe en un clic et des outils pratiques pour les achats en ligne. Mais toute cette splendeur peut s'estomper pour vous si vous souhaitez utiliser la synchronisation de données entre différents appareils. Pour ce faire, vous devrez acheter un abonnement annuel pour 39,99 $, ce qui est beaucoup.
Apparence, fiabilité, multiplateforme, portefeuille numérique.
- Coût élevé, impossibilité de stocker les mots de passe localement.Quel gestionnaire de mots de passe choisiriez-vous si LastPass opte pour un abonnement payant?