LastPass הוא אחד ממנהלי הסיסמאות הגדולים ביותר שיש, והוא החזיק בתפקיד הזה מסיבה טובה. תוכנית LastPass החינמית תמכה במספר סוגים של מכשירים, התוכנית בתשלום הייתה שדרוג משתלם תמורת 12$ לשנה, והיא הייתה פשוטה וקלה לשימוש. גם כאשר סבלה החברה מאירועים ביטחוניים רבים, נראה היה שתגובותיה מצדיקות את טובת הספק.
לבסוף נטשתי את LastPass – והמעבר היה סיוט
אבל עם הזמן, תכונות נחתכו מהתוכנית החינמית ומחיר התוכנית בתשלום עלה. גם מנהלי סיסמאות מתחרים החלו לדחוף פיצ'רים חדשניים יותר. ואז הגיעה הפריצה הגדולה ב-2022, שבה נגנבו נתונים בכספות של לקוחות ונחשפו כלא מוצפנים במלואם. אוף.לפני זמן רב, פתחתי חשבון ב-LastPass כדי לשמור את הסיסמאות של אדם אהוב וגם אחרי הפריצה בשנה שעברה, לא עזבתי מיד.
שווה בדיקה: אינטרנט סיבים מחיר
(שינוי קשה לאדם זה). אבל אחרי כמה שידולים עדינים וממושכים, קיבלתי אור ירוק להעביר אותם סוף סוף למנהל סיסמאות אחר, ואני כל כך שמח לעבור סוף סוף לשדות מרעה ירוקים יותר. הבעיות של LastPass פשוט רבות מכדי להבליט אותו… כולל כאשר אתה באמת בתהליך של עזיבה.
אם אתם עדיין עם LastPass ותהיתם אם כדאי לכם לקפוץ, הנה מה שהטה אותי מעבר לקצה ולמה אני לא מתכוון לחזור אי פעם.אם אתם מחפשים מנהל סיסמאות, כדאי לכם לבדוק את אוסף הסיסמאות של PCWorld של הטובים ביותר הזמינים כיום.הגילויים של LastPass על פרצות האבטחה שלה ב-2022 היו כמו לצפות בתאונת רכבת בהילוך איטי.
ראשית הגיעה ההודעה הראשונית באוגוסט, שטענה כי שום נתוני לקוחות לא הושפעו – רק סביבת מפתחים. ואז, שלושה חודשים לאחר מכן, הגיע עדכון שנתוני הלקוחות הושפעו. כמעט חודש לאחר מכן, החברה חשפה כי פרטי לקוחות וכספות סיסמאות נגנבו. לא רק זה, אלא שאלמנטים בכספות האלה (כולל כתובות URL) לא הוצפנו.
כאמור, LastPass לא היה זר לאירועי אבטחה לפני הפריצה הזו, אבל אף אחד מהם לא היה מזעזע כמו זה. לקוחות של מנהלי סיסמאות מקוונים בדרך כלל סומכים על כך שהשירות שלהם מוגן מספיק כדי שגורמים לא מורשים יוכלו לגשת לנתונים שלהם – גם אם הם מוצפנים.
לשמוע אחרי פריצה שנתוני הכספת לא מוצפנים היה קצת מסנוור.ואולי יש סיבה טובה מבחינה הנדסית לכך שפרטים מסוימים – כמו כתובות URL, תדירות השימוש שלך בערך, מתי עדכנת ערך לאחרונה וכו' – לא יוצפנו. אבל זה מביא אותנו לדרך השנייה שבה LastPass ערערה את האמון שלי בהם, והיא.
..אז, כמובן, אני לא יודע מה נדרש כדי לנהל עסק שבו אתה לא רק שומר על מידע רגיש באמת, אבל אתה מתמודד באופן פעיל עם איומים על המידע הזה על בסיס קבוע.אבל תקשורת טובה היא די בסיסית – מיידיות ושקיפות מלאה עושות דרך ארוכה. מנה בריאה של הודעות מנע מחוללת פלאים.
הדרך שבה LastPass מפיצה את החדשות שלה ללקוחות יכולה להביא לשיפור רב בכל שלוש החזיתות.בואו ניקח דוגמה עדכנית. באמצע יולי נכנסתי כדי לבדוק בפעם האחרונה את החשבון שנטשתי, רק כדי לראות הודעה שהחזרות של הסיסמאות שלי הועלו ל-600,000.$34.
מספר גבוה יותר של איטרציות של סיסמאות הוא בתיאוריה דבר טוב. זה אמור לעזור להאט את היכולת לנחש במהירות מה הסיסמה שלך. תקני קריפטוגרפיה מודרניים ממליצים על 600,000 חזרות, וזו כנראה הסיבה ש-LastPass בחרה להגדיל את הלקוחות באופן אוניברסלי לרמה זו.
אבל זה קרה ביולי 2023. כלומר, חצי שנה לאחר החשיפה בדצמבר על גניבת נתוני הכספת של כולם. חלפה חצי שנה שבה אנשים שלא בדקו את ההגדרה בדצמבר (כמוני) והגדילו אותה (כמו שגם אני עשיתי) נשארו עם חזרות נמוכות בהרבה (כמו שלי לפני שהתעסקתי בזה).
המייל שמסביר את השינוי הזה הגיע כמה שעות אחרי שעשיתי חיפוש מהיר באינטרנט כדי להבין מה לעזאזל קורה. ואז הגיע עותק נוסף למחרת. התוכן לא הסביר את העיתוי או את הסיבה המניע מאחורי העלייה.פעם, ממשק האינטרנט של LastPass היה הגון למדי.
אולי לא הכי חלקלק, אבל זה הרגיש מספיק מודרני.כיום, הוא מרגיש הרבה יותר חשוף בהשוואה למנהלי סיסמאות מתחרים. שינויים קטנים לאורך זמן פגעו גם בממשק האינטרנט. בשר הבקר הגדול ביותר שלי הוא שהוא מסתמך במידה רבה על עוגיות קבועות כדי לשמור על הגדרות.
גלישה בסתר פירושה שהפריסה שלכם לעולם לא תישאר שמורה – היא תמיד מחזירה את התצוגה לברירת המחדל של LastPass.הודעות באנר מופיעות שוב ושוב. אולי זה קטנוני מצדי, אבל כשהופיעה הודעת באנר קבועה לתוסף הדפדפן, זה היה הרגע שבו הגעתי סוף סוף לקצה גבול היכולת שלי.
ל-LastPass יש את הלוגים של המכשירים שבהם השתמשתי ואת השימוש העקבי והבלתי פוסק שלי בממשק הרשת במשך שנים על גבי שנים. לנדנד בהתמדה לא יגרום לי לשנות את ההרגל הזה.באופן מוזר, ייצוא דרך ממשק אינטרנט דורש לעבור תהליך אימות, אבל הרחבת הדפדפן ישתעל את ה- CSV באופן מיידי.
המדור הזה התמלא בשפה הרבה יותר מלוחה עד שנזכרתי שכולכם (והעורך שלי) תקראו אותו. הפשילו שרוולים, כי אנחנו נכנסים לפרטים המלוכלכים עם זה.הייתם חושבים שאולי, אם אתם עוזבים שירות, העסק יקבל תמריץ להפוך את התהליך לקל ככל האפשר – ובכך להגדיל את הסיכויים שתחזרו יום אחד.
LastPass מנסה לעשות זאת, אבל הוא לא עושה זאת באופן עקבי. ולמזלי, נקלעתי לכל חור פיתוח שמאפשר ייצוא סיסמאות מרושל.בדרך כלל, כשאתם מחליפים מנהלי סיסמאות, אתם מייצאים את נתוני הכספת שלכם לקובץ CSV או XML. מדובר בפורמטים בסיסיים של קבצים שניתן לקרוא בקלות בתוכנות שונות (בתיאוריה, בכל מקרה).
LastPass מייצאת רק לקובץ CSV למטרה זו והמאפיין המגדיר של פורמט הערכים המופרדים באמצעות פסיקים הוא (כפי שניתן לצפות מהשם), פסיקים משמשים לציון שדות נתונים נפרדים.שימו לב: אם אתם מייצאים את כל הסיסמאות שלכם לפורמט לא מוצפן כמו CSV או XML, שמירתו בתיקייה מוצפנת במחשב תעזור לכם להגן עליהן כשאתם עוברים בין LastPass למנהל סיסמאות חדש.
אני רוצה להיות ברור – אני מסוג האנשים שאם משהו משתבש, אני רוצה להבין למה. וכשהייצוא שלי יצא מבולגן, עם חבורה של ערכים שהכילו נתונים יתומים, ניסיתי להבין את מה שאני רואה.בהתחלה חשבתי ששורש הבעיה הוא פסיקים בשדות הטקסט. שאולי הם גרמו לערכים להתפצל ולהיקרא כערכים שונים (כאשר הנתונים מסתיימים בשדות הלא נכונים, כדי לאתחל).
אבל זה לא הסביר מדוע חלק מהערכים ללא פסיקים כלל פוצלו. או מדוע ערכים אחרים היו פשוט חסרים.ייצוא זה דרך ממשק האינטרנט שומר פסיקים במקומות הנכונים, אך שלושה ערכים בחשבון בדיקה זה חסרים בקובץ ה- CSV. תוסף הדפדפן מייצא כראוי את כולם.
עדיין לא היו לי תשובות ברורות עד שסיימתי להצליב ידנית כל רשומה מול המקור ב-LastPass, רע הכרחי כי הנתונים לא היו אמינים, אבל ייבוא וניקוי הבלגן עדיין היה מהיר יותר מיצירת כל הערכים מאפס במנהל הסיסמאות החדש.התנסות בדפדפנים שונים ובשיטות ייצוא שונות (כלומר, יזומות דרך ממשק האינטרנט לעומת הרחבת הדפדפן) לא פתרה את הבלבול.
מסתבר שממשק האינטרנט לא מייצא את כל הערכים (Firefox) או ישר מחזיר קובץ CSV ריק (Chrome), אבל גם ייצוא ממשק האינטרנט של Firefox וגם תוסף הדפדפן של Chrome סבלו מאותן בעיות עם שלמות הנתונים. בינתיים, כשניסיתי לייצא בחשבון בדיקה, שדות הנתונים עבור כל ערך יצאו מושלמים (גם אם חלקם עדיין היו חסרים בייצוא האינטרנט).
לסיכום לבסוף נטשתי את LastPass – והמעבר היה סיוט
למיטב הבנתי, או שגיל החשבון משפיע על אופן אחסון הנתונים וניתוחם בשרתים, או שהשימוש בתווים מיוחדים מסוימים בשדות טקסט שאינם סיסמה מעורר באג כלשהו בסקריפט הייצוא. כך או כך, אתם לא יכולים לסמוך על כך שאתם באמת מוציאים את כל הסיסמאות שלכם ללא פגע.
שעות לתוך התהליך המייגע של הצלת היבוא שלי, שקלתי ברצינות לנטוש את התהליך לטובת איפוס סיסמאות לכל שירות, ולתת למנהל הסיסמאות החדש ללכוד אותן.לעולם לא עוד.אם אתם מחפשים מנהל סיסמאות, כדאי לכם לבדוק את אוסף הסיסמאות של PCWorld של הטובים ביותר הזמינים כיום.
