Менеджер паролей LastPass объявил, что начнёт шифровать URL-адреса в хранилищах пользователей для повышения конфиденциальности и защиты от утечки данных и несанкционированного доступа.
Когда пользователи посещают веб-сайт, LastPass сравнивает URL-адрес с записью в хранилище паролей, чтобы определить, сохранили ли они учётные данные, а затем предлагает ввести их автоматически.
LastPass отмечает, что ранее URL-адреса не шифровали, чтобы снизить нагрузку на системы из-за ограничений вычислительной мощности. Теперь эти ограничения сняты, и LastPass может производить шифрование моментально, чтобы пользователь не замечал сбоев в производительности браузера.
Компания отмечает, что это шаг на пути внедрения архитектуры с нулевым разглашением, которая предназначена не только для защиты данных от внешних угроз. «URL-адреса могут содержать подробную информацию о характере учётных записей, связанных с сохранёнными учётными данными (например, банковские операции, электронная почта, социальные сети)», — объясняет Lastpass.
Безопасность с нулевым разглашением данных основана на том, что все данные клиентов должны быть зашифрованы и, следовательно, недоступны для LastPass и хакеров.
В 2022 году в LastPass произошло два взлома, которые позволили злоумышленникам украсть исходный код, данные клиентов и производственные резервные копии, включая зашифрованные хранилища паролей. Украденные данные также включали незашифрованные URL-адреса, связанные с записями паролей. Генеральный директор LastPass Карим Тубба тогда заявил, что только клиенты знают пароли, необходимые для расшифровки хранилищ. Однако, если бы они были слабыми, то их потенциально можно было бы взломать. Позже выяснилось, что злоумышленники действительно расшифровали некоторые из слабых мастер-паролей и использовали сохранённые учётные данные для взлома криптовалютных бирж и кражи средств на сумму более $4 млн.
Шифрование URL-адресов требует рефакторинга функциональности клиентских и серверных компонентов LastPass, и эта работа уже ведётся.
Первый этап реализации шифрования URL-адресов стартует в июне, при этом основные поля будут автоматически зашифрованы для всех существующих и новых учётных записей. На этом этапе дублирующиеся и устаревшие поля URL-адресов в хранилище будут удалены.
Второй этап стартует во второй половине года, когда оставшиеся шесть полей, связанных с URL-адресами, хранящихся в хранилищах LastPass, также будут автоматически зашифрованы.
Это будут:
url_rules — правила URL-адресов, которые допускают сопоставление пути, хоста или порта;
Equiv_domains — эквивалентные домены;
accts_never — никогда не сопоставлять/автоматически заполнять эти URL-адреса (список запретов);
accts_never_excluded — всегда сопоставлять/автозаполнять и никогда не исключать (список разрешений);
acs — URL-адреса, используемые только для бизнес-клиентов с устаревшим решением LP SSO;
launchurl — URL-адреса, используемые для единого входа SAML бизнес-клиентов, использующих устаревшее решение единого входа.
В настоящее время пользователям не нужно предпринимать никаких действий, но LastPass отправит им по электронной почте пошаговые разъяснения относительно новой функции.
С января LastPass требует использовать сложные мастер-пароли длиной не менее 12 символов. Кроме того, менеджер начал проверять новые или обновлённые мастер-пароли по базе данных, ранее просочившихся в даркнет, чтобы убедиться, что они не совпадают с уже скомпрометированными.
