LastPass, piyasadaki en büyük üçüncü taraf şifre yöneticilerinden biridir ve bu pozisyonu iyi bir nedenle elinde tutuyordu. Ücretsiz plan, birden fazla cihaz türünü destekledi, ücretli plan, yılda 12 ABD Doları değerinde bir yükseltmeydi ve genel olarak yeterince iyi bir kullanıcı arayüzüne sahipti. Şirket birkaç güvenlik olayından zarar gördüğünde bile, verdiği yanıtlar şüpheye yer bırakmıyor gibiydi.
Ancak zamanla, özellikler ücretsiz plandan çıkarıldı ve ücretli planın fiyatı yükseldi. Rakip parola yöneticileri de daha yenilikçi özellikleri zorlamaya başladı. Ardından 2022’de müşterilerin kasalarındaki verilerin çalındığı büyük ihlal geldi. Ve tamamen şifrelenmemiş olarak ortaya çıktı.
Uzun bir süre önce, sevdiğim birinin şifrelerini korumak için LastPass’ta bir hesap açtım ve geçen yılki saldırıdan sonra bile hemen ayrılmadım. (Değişim bu kişi için zordur). Ancak biraz nazik, uzun süreli iknadan sonra, sonunda onları başka bir parola yöneticisine geçirmek için yeşil ışık yaktım ve sonunda daha yeşil meralara geçtiğim için çok mutluyum. LastPass’ın sorunları, üstesinden gelmek için çok fazla… gerçekten ayrılma sürecinde olduğunuz zamanlar da dahil.
Hâlâ LastPass kullanıyorsanız ve atlamanız gerekip gerekmediğini merak ediyorsanız, işte beni uçurumdan aşağı iten şey ve neden bir daha geri dönmeyi planlamadığım.
Bir şifre yöneticisi edinmek istiyorsanız, PCWorld’ün bugün mevcut olan en iyilerini içeren derlemesine göz atmalısınız.
2022 güvenlik ihlalleri
Bilgisayar Dünyası
LastPass’ın 2022 güvenlik ihlalleriyle ilgili açıklamaları, ağır çekimde bir tren kazasını izlemek gibiydi. İlk olarak, Ağustos ayında hiçbir müşteri verisinin etkilenmediğini iddia eden ilk duyuru geldi; yalnızca bir geliştirici ortamı. Ardından üç ay sonra müşteri verilerinin güncellendiği bir güncelleme geldi. öyleydi etkilenen Bundan yaklaşık bir ay sonra şirket, müşteri bilgilerinin ve şifre kasalarının çalındığını ortaya çıkardı. Sadece bu da değil, bu kasalardaki öğeler (URL’ler dahil) şifrelenmemişti.
Yukarıda belirtildiği gibi, LastPass bu ihlalden önce güvenlik olaylarına yabancı değildi, ancak hiçbiri bu kadar şok edici değildi. Çevrimiçi parola yöneticilerinin müşterileri genellikle hizmetlerinin, verilerine – şifrelenmiş olsalar bile – yetkisiz taraflarca erişilemeyecek kadar yeterince korunduğuna güvenirler. Bir ihlalden sonra kasa verilerinin şifrelenmemiş olduğunu duymak biraz kör ediciydi.
URL’ler, bir girdiyi ne sıklıkta kullandığınız, bir girdiyi en son ne zaman güncellediğiniz gibi bazı ayrıntıların şifrelenmemesinin mühendislik açısından iyi bir nedeni olabilir. Ama bu bizi LastPass’ın onlara olan güvenimi sarstığı ikinci yola getiriyor, yani…
Kötü iletişim
Bilgisayar Dünyası
Bu nedenle, açıkçası, yalnızca gerçekten hassas bilgileri korumakla kalmayıp, aynı zamanda bu bilgilere yönelik tehditlerle düzenli olarak aktif olarak uğraştığınız bir işletmeyi yönetmenin ne gerektirdiğini bilmiyorum.
Ancak iyi iletişim oldukça basittir, dolaysızlık ve tam şeffaflık uzun bir yol kat eder. Sağlıklı dozda önleyici bildirimler de harikalar yaratır. LastPass’ın müşterilerine haber verme şekli, her üç cephede de pek çok iyileştirme kullanabilir.
Güncel bir örnek verelim. Temmuz ortasında, bıraktığım hesabı son kez kontrol etmek için oturum açtım, yalnızca parola yinelemelerimin 600.000’e yükseltildiğini belirten bir mesaj gördüm.
Daha fazla sayıda parola yinelemesi teoride iyi bir şeydir. Parolanızın ne olduğunu hızlı bir şekilde tahmin etme yeteneğini yavaşlatmaya yardımcı olması gerekiyor. Modern kriptografi standartları 600.000 yineleme önerir, bu nedenle LastPass müşterileri evrensel olarak bu seviyeye yükseltmeyi seçmiştir.
Ancak bu, Temmuz 2023’te oldu. Yani, Aralık ayında herkesin kasa verilerinin çalındığına dair ifşadan altı ay sonra. Aralık ayında bu ayarı kontrol etmeyen (benim yaptığım gibi) ve artıran (benim de yaptığım gibi) insanların çok daha düşük yinelemelerle kaldığı (ben onunla oynamadan önce benimki gibi) yarım yıl geçti.
İlk düşüncemin şu olduğu çok şey söylüyor: “Ne tür bir güvenlik sorunu yaşadılar? bu zaman bunu istemek için?” Ayrıca, ikinci olanım, “Bu neden şimdi oluyor?”
Bu değişikliği açıklayan e-posta, neler olup bittiğini anlamak için hızlı bir çevrimiçi arama yaptıktan birkaç saat sonra geldi. Sonra ertesi gün başka bir nüsha geldi. İçerik, zamanlamayı veya artışın arkasındaki motive edici nedeni açıklamadı.
Web arayüzü hayal kırıklığı yaratıyor
Bilgisayar Dünyası
Bir zamanlar, LastPass’ın web arayüzü oldukça makuldü. Belki en şık değil, ama yeterince modern hissettirdi.
Günümüzde, rakip şifre yöneticilerine kıyasla çok daha basit hissettiriyor. Zaman içindeki küçük değişiklikler de web arayüzünü bozdu. En büyük etim, ayarları korumak için büyük ölçüde kalıcı tanımlama bilgilerine dayanmasıdır. Gizli göz atma, düzeninizin hiçbir zaman kayıtlı kalmayacağı anlamına gelir; görünümü her zaman LastPass’ın varsayılan ayarına döndürür.
Başlık mesajları da art arda görünür. Belki bu benim için önemsizdir, ancak tarayıcı uzantısı için kalıcı bir başlık mesajı göründüğünde, işte o zaman nihayet sınırıma ulaştım. LastPass, kullandığım cihazların günlüklerine ve web arayüzünü yıllarca ve yıllarca tutarlı, amansız kullanımıma sahiptir. Israrla dırdır etmek bu alışkanlığımı değiştirmeyecek.
Kasanızı dışa aktarmak bir kabus
Bilgisayar Dünyası
Bu bölüm, hepinizin (ve editörümün) onu okuyacağını hatırlayana kadar çok daha tuzlu bir dille doluydu. Kollarınızı sıvayın çünkü bu sefer kirli detaylara giriyoruz.
Belki de bir hizmetten ayrılacak olsaydınız, işletmenin süreci olabildiğince kolaylaştırmak için teşvik edileceğini ve böylece bir gün geri dönme şansınızı artıracağını düşünürdünüz. LastPass bunu dener, ancak bunu tutarlı bir şekilde yapmaz. Şanslıyım ki, özensiz parola dışa aktarımına izin veren herhangi bir geliştirme deliğine yakalandım.
Genellikle, parola yöneticilerini değiştirdiğinizde kasa verilerinizi bir CSV veya XML dosyasına aktarırsınız. Bunlar, farklı programlarda kolayca okunabilen temel dosya biçimleridir (teoride zaten). LastPass bu amaç için yalnızca CSV’ye dışa aktarır ve virgülle ayrılmış değerler biçiminin belirleyici özelliği, (adından da anlaşılacağı gibi) virgüllerin ayrı veri alanlarını belirtmek için kullanılmasıdır.
Not: Tüm parolalarınızı CSV veya XML gibi şifrelenmemiş bir biçime aktarıyorsanız, PC’nizde şifrelenmiş bir klasör LastPass ile yeni bir parola yöneticisi arasında geçiş yaparken bunları korumaya yardımcı olacaktır.
Açık olmak istiyorum – Ben bir şeyler ters giderse nedenini anlamaktan hoşlanan türden bir insanım. Dışa aktarma işlemim, sahipsiz veriler içeren bir dizi girişle birlikte bir karmaşaya dönüştüğünde, gördüklerimi anlamlandırmaya çalıştım.
İlk başta asıl nedenin metin alanlarındaki virgüller olduğunu düşündüm. Belki de girişlerin bölünmesine ve farklı girişler olarak okunmasına neden oluyorlardı (önyükleme için yanlış alanlarda biten verilerle). Ancak bu, hiç virgül içermeyen bazı girişlerin neden ayrıldığını açıklamıyordu. Veya diğer girişlerin neden tamamen eksik olduğu.
Bilgisayar Dünyası
LastPass’taki her bir girişi orijinallerle manuel olarak çapraz kontrol etmeyi bitirdiğimde hala net yanıtlarım yoktu, bu gerekli bir kötülük çünkü veriler güvenilmezdi, ancak karışıklığı içe aktarmak ve temizlemek yine de tüm girişleri sıfırdan oluşturmaktan daha hızlıydı. yeni şifre yöneticisinde.
Farklı tarayıcıları ve dışa aktarma yöntemlerini denemek (yani, tarayıcı uzantısına karşı web arayüzü aracılığıyla başlatılan) karışıklığı gidermedi. Web arayüzünün tüm girişleri dışa aktarmadığı (Firefox) veya doğrudan boş bir CSV dosyası (Chrome) döndürdüğü ortaya çıktı, ancak hem Firefox’un web arayüzü dışa aktarımında hem de Chrome tarayıcı uzantısında veri bütünlüğü ile aynı sorunlar vardı. Bu arada, bir test hesabında dışa aktarmayı denediğimde, her giriş için veri alanları mükemmel çıktı (bazıları web dışa aktarımında hala eksik olsa bile).
Anlayabildiğim kadarıyla, ya hesabın yaşı, verilerin sunucularda nasıl saklandığını ve ayrıştırıldığını etkiler ya da parola olmayan metin alanlarında belirli özel karakterlerin kullanılması, dışa aktarma komut dosyasında bir tür hatayı tetikler. Her iki durumda da, aslında tüm şifrelerinizi olduğu gibi aldığınıza güvenemezsiniz. İçe aktarma işlemimi kurtarmanın sıkıcı sürecine saatler kala, her hizmet için parola sıfırlama lehine süreçten vazgeçmeyi ve yeni parola yöneticisinin bunları yakalamasına izin vermeyi ciddi olarak düşündüm. Yani, LastPass güvenlik ihlalleri göz önüne alındığında son bir önlem olarak bunu zaten yapmak zorunda kalacaktım, değil mi?
Bir daha asla.
Bir şifre yöneticisi edinmek istiyorsanız, PCWorld’ün bugün mevcut olan en iyilerini içeren derlemesine göz atmalısınız.