24.05.2024 | LastPass внедряет шифрование URL-адресов: безопасность в сети выходит на новый уровень |
LastPass , популярный менеджер паролей, объявил о скором начале шифрования URL -адресов, хранящихся в пользовательских хранилищах. Этот шаг направлен на усиление конфиденциальности данных и защиту от утечек и несанкционированного доступа. Внедрение новой функции станет значительным шагом в направлении реализации архитектуры нулевого разглашения, что означает, что даже сам LastPass не будет иметь никакого доступа к данным пользователей. Шифрование URL-адресов будет происходить автоматически и незаметно благодаря возросшей производительности современного оборудования. Исторически сложилось так, что в 2008 году, из-за ограничений вычислительной мощности, инженеры LastPass приняли решение не шифровать URL-адреса, чтобы снизить нагрузку на процессоры и минимизировать энергопотребление. С развитием технологий эти ограничения больше не актуальны, и теперь компания может шифровать и расшифровывать URL-адреса без заметных задержек в работе своего продукта. Шифрование URL-адресов необходимо для повышения безопасности пользователей и соответствия архитектуре нулевого разглашения. В URL-адресах могут содержаться детали о природе учётных записей, таких как банковские, почтовые или социальные сети. Шифрование этих данных поможет сохранить их конфиденциальность и снизить риски. В 2022 году LastPass столкнулся с двумя утечками данных, в результате которых злоумышленники получили доступ к исходному коду, данным пользователей и резервным копиям, включая зашифрованные хранилища паролей. Несмотря на то, что для расшифровки этих хранилищ требовался мастер-пароль, утечки включали незашифрованные URL-адреса, что позволило злоумышленникам целенаправленно атаковать учётные записи в финансовых сервисах. Некоторые слабые мастер-пароли были расшифрованы, и с их помощью были взломаны криптовалютные биржи, что привело к хищению более $4 миллионов. Это дополнительно подтверждает тот факт, что шифрования много не бывает, и, при наличии такой возможности, им нужно защитить все данные, хранящиеся в таких чувствительных сервисах, как, например, LastPass. Внедрение шифрования URL-адресов в LastPass потребует переработки клиентских и серверных компонентов. Первая фаза реализации начнётся в июне 2024 года и будет включать автоматическое шифрование основных полей URL для всех существующих и новых учётных записей. В это время будут удалены дублирующие и устаревшие поля URL, а пользователи получат уведомления о внесённых изменениях. Вторая фаза шифрования запланирована на вторую половину года и будет охватывать оставшиеся шесть полей URL, включая эквивалентные домены, подстановочные URL, перенаправляющие URL, пользовательские URL, URL в заметках и исторические URL. Пользователям не нужно предпринимать никаких действий, так как LastPass автоматически отправит все инструкции по использованию новых функций, когда процесс развёртывания перейдёт в активную фазу. |
Проверить безопасность сайта