- 10,343
- 18
- 8 Ноя 2022
Ни один злоумышленник больше не сможет воспользоваться вашими данными в злонамеренных целях.
LastPass , популярный менеджер паролей, Для просмотра ссылки Войдиили Зарегистрируйся о скором начале шифрования URL -адресов, хранящихся в пользовательских хранилищах. Этот шаг направлен на усиление конфиденциальности данных и защиту от утечек и несанкционированного доступа.
Внедрение новой функции станет значительным шагом в направлении реализации архитектуры нулевого разглашения, что означает, что даже сам LastPass не будет иметь никакого доступа к данным пользователей. Шифрование URL-адресов будет происходить автоматически и незаметно благодаря возросшей производительности современного оборудования.
Исторически сложилось так, что в 2008 году, из-за ограничений вычислительной мощности, инженеры LastPass приняли решение не шифровать URL-адреса, чтобы снизить нагрузку на процессоры и минимизировать энергопотребление. С развитием технологий эти ограничения больше не актуальны, и теперь компания может шифровать и расшифровывать URL-адреса без заметных задержек в работе своего продукта.
Шифрование URL-адресов необходимо для повышения безопасности пользователей и соответствия архитектуре нулевого разглашения. В URL-адресах могут содержаться детали о природе учётных записей, таких как банковские, почтовые или социальные сети. Шифрование этих данных поможет сохранить их конфиденциальность и снизить риски.
В 2022 году LastPass столкнулся с двумя утечками данных, в результате которых злоумышленники получили доступ к исходному коду, данным пользователей и резервным копиям, включая зашифрованные хранилища паролей. Несмотря на то, что для расшифровки этих хранилищ требовался мастер-пароль, утечки включали незашифрованные URL-адреса, что позволило злоумышленникам целенаправленно атаковать учётные записи в финансовых сервисах.
Некоторые слабые мастер-пароли были расшифрованы, и с их помощью были взломаны криптовалютные биржи, что привело к хищению более $4 миллионов. Это дополнительно подтверждает тот факт, что шифрования много не бывает, и, при наличии такой возможности, им нужно защитить все данные, хранящиеся в таких чувствительных сервисах, как, например, LastPass.
Внедрение шифрования URL-адресов в LastPass потребует переработки клиентских и серверных компонентов. Первая фаза реализации начнётся в июне 2024 года и будет включать автоматическое шифрование основных полей URL для всех существующих и новых учётных записей. В это время будут удалены дублирующие и устаревшие поля URL, а пользователи получат уведомления о внесённых изменениях.
Вторая фаза шифрования запланирована на вторую половину года и будет охватывать оставшиеся шесть полей URL, включая эквивалентные домены, подстановочные URL, перенаправляющие URL, пользовательские URL, URL в заметках и исторические URL.
Пользователям не нужно предпринимать никаких действий, так как LastPass автоматически отправит все инструкции по использованию новых функций, когда процесс развёртывания перейдёт в активную фазу.
LastPass , популярный менеджер паролей, Для просмотра ссылки Войди
Внедрение новой функции станет значительным шагом в направлении реализации архитектуры нулевого разглашения, что означает, что даже сам LastPass не будет иметь никакого доступа к данным пользователей. Шифрование URL-адресов будет происходить автоматически и незаметно благодаря возросшей производительности современного оборудования.
Исторически сложилось так, что в 2008 году, из-за ограничений вычислительной мощности, инженеры LastPass приняли решение не шифровать URL-адреса, чтобы снизить нагрузку на процессоры и минимизировать энергопотребление. С развитием технологий эти ограничения больше не актуальны, и теперь компания может шифровать и расшифровывать URL-адреса без заметных задержек в работе своего продукта.
Шифрование URL-адресов необходимо для повышения безопасности пользователей и соответствия архитектуре нулевого разглашения. В URL-адресах могут содержаться детали о природе учётных записей, таких как банковские, почтовые или социальные сети. Шифрование этих данных поможет сохранить их конфиденциальность и снизить риски.
В 2022 году LastPass столкнулся с двумя утечками данных, в результате которых злоумышленники получили доступ к исходному коду, данным пользователей и резервным копиям, включая зашифрованные хранилища паролей. Несмотря на то, что для расшифровки этих хранилищ требовался мастер-пароль, утечки включали незашифрованные URL-адреса, что позволило злоумышленникам целенаправленно атаковать учётные записи в финансовых сервисах.
Некоторые слабые мастер-пароли были расшифрованы, и с их помощью были взломаны криптовалютные биржи, что привело к хищению более $4 миллионов. Это дополнительно подтверждает тот факт, что шифрования много не бывает, и, при наличии такой возможности, им нужно защитить все данные, хранящиеся в таких чувствительных сервисах, как, например, LastPass.
Внедрение шифрования URL-адресов в LastPass потребует переработки клиентских и серверных компонентов. Первая фаза реализации начнётся в июне 2024 года и будет включать автоматическое шифрование основных полей URL для всех существующих и новых учётных записей. В это время будут удалены дублирующие и устаревшие поля URL, а пользователи получат уведомления о внесённых изменениях.
Вторая фаза шифрования запланирована на вторую половину года и будет охватывать оставшиеся шесть полей URL, включая эквивалентные домены, подстановочные URL, перенаправляющие URL, пользовательские URL, URL в заметках и исторические URL.
Пользователям не нужно предпринимать никаких действий, так как LastPass автоматически отправит все инструкции по использованию новых функций, когда процесс развёртывания перейдёт в активную фазу.
- Источник новости
- www.securitylab.ru
