LastPass är en av de största tredjepartslösenordshanterarna där ute och det brukade ha den positionen av en god anledning. Den kostnadsfria planen stödde flera typer av enheter, den betalda planen var en värdefull uppgradering för $12 per år, och den hade ett anständigt tillräckligt användargränssnitt totalt sett. Även när företaget drabbades av flera säkerhetsincidenter verkade dess svar motivera tvivel.
Men med tiden togs funktionerna bort från gratisplanen och priset på den betalda planen steg. Rivalerande lösenordshanterare började också driva på mer innovativa funktioner. Och sedan kom det stora intrånget 2022, ett där data i kunders valv stals och avslöjas som inte helt krypterad.
den bästa lösenordshanteraren du kan använda
Dashlane
Läs vår recension Pris vid recension: Gratis I Avancerat: 2,75 USD/månad I Premium: 4,99 USD/månad I Vänner och familj: 7,49 USD/månad Bästa priser idag: 0 USD på Dashlane
För länge sedan startade jag ett konto hos LastPass för att behålla lösenorden för en älskad och även efter förra årets hack, lämnade jag inte direkt. (Förändring är svårt för den här personen). Men efter lite försiktigt, långvarigt lockande fick jag äntligen grönt ljus att byta dem till en annan lösenordshanterare och jag är så glad över att äntligen gå vidare till grönare betesmarker. LastPass problem är alldeles för många för att sticka ut … inklusive när du faktiskt är på väg att lämna.
Om du fortfarande är med LastPass och undrar om du borde hoppa, här är vad som fick mig att gå över kanten och varför jag inte planerar att någonsin återvända.
Om du letar efter en lösenordshanterare bör du kolla in PCWorlds sammanfattning av de bästa tillgängliga idag.
Säkerhetsintrången 2022
PCWorld
LastPass avslöjanden om dess säkerhetsöverträdelser 2022 var som att se ett tågvrak i slow motion. Först kom det första tillkännagivandet i augusti, som hävdade att ingen kunddata påverkades – bara en utvecklarmiljö. Sedan tre månader senare kom en uppdatering av kunddata var påverkade. Nästan en månad efter det avslöjade företaget att kundinformation och lösenordsvalv hade stulits. Inte bara det, utan element i dessa valv (inklusive webbadresser) hade inte krypterats.
Som nämnts ovan var LastPass inte främmande för säkerhetsincidenter före detta brott, men ingen var så chockerande som den här. Kunder till lösenordshanterare online litar i allmänhet på att deras tjänst är tillräckligt skyddad för att deras data – även om de är krypterade – inte kan nås av obehöriga parter. Att höra efter ett intrång att valvdata var okrypterad var lite förvirrande.
Och kanske finns det goda skäl ur ett tekniskt perspektiv till varför vissa detaljer – som webbadresser, hur ofta du använder en post, när du senast uppdaterade en post, etc – inte skulle krypteras. Men det för oss till det andra sättet på vilket LastPass sänkte mitt förtroende för dem, vilket är…
Dålig kommunikation
PCWorld
Så, uppenbarligen, jag vet inte vad som krävs för att driva ett företag där du inte bara skyddar riktigt känslig information, utan du aktivt hanterar hot mot den informationen på regelbunden basis.
Men bra kommunikation är ganska grundläggande, omedelbarhet och full transparens räcker långt. En hälsosam dos av förebyggande meddelanden gör också underverk. Sättet LastPass sprider sina nyheter till kunderna skulle kunna behöva en hel del förbättringar på alla tre fronterna.
Låt oss ta ett färskt exempel. I mitten av juli loggade jag in för att göra en sista kontroll av kontot jag övergav, bara för att se ett meddelande om att mina lösenordsupprepningar hade höjts till 600 000.
Mest säkerhetsinriktad lösenordshanterare
Vårdare
Läs vår recension Pris vid recension: 34,99 USD Bästa priser idag: 34,99 USD hos Keeper Security
Ett högre antal lösenordsiterationer är i teorin en bra sak. Det är tänkt att hjälpa till att sakta ner förmågan att snabbt gissa vad ditt lösenord är. Moderna kryptografistandarder rekommenderar 600 000 iterationer, vilket förmodligen är anledningen till att LastPass valde att öka kunderna universellt till den nivån.
Men detta skedde i juli 2023. Det vill säga ett halvår efter avslöjandet i december om att allas valvdata stulits. Ett halvår gick då människor som inte kollade inställningen tillbaka i december (som jag gjorde) och ökade den (som jag också gjorde) fick mycket lägre iterationer (som min var innan jag pillade med den).
Det säger mycket att min första tanke var “Vilken typ av säkerhetsproblem hade de den här gången att uppmana till detta?“Också att min andra var,”Varför händer detta nu?”
E-postmeddelandet som förklarade denna förändring kom flera timmar efter att jag gjorde en snabb sökning på nätet för att ta reda på vad fan som pågick. Sedan kom ett nytt exemplar in dagen efter. Innehållet förklarade inte tidpunkten eller den motiverande orsaken bakom ökningen.
Webbgränssnittet är en besvikelse
PCWorld
En gång i tiden var LastPass webbgränssnitt någorlunda hyfsat. Kanske inte den snyggaste, men det kändes modernt nog.
Nuförtiden känns det mycket mer barbent jämfört med rivaliserande lösenordshanterare. Små förändringar över tiden har också försämrat webbgränssnittet. Mitt största nötkött är att det är mycket beroende av beständiga kakor för att behålla inställningarna. Inkognitosurfning innebär att din layout aldrig förblir sparad – den återställer alltid vyn till LastPass standard.
Bannermeddelanden visas också upprepade gånger. Kanske är detta småsint av mig, men när ett permanent bannermeddelande dök upp för webbläsartillägget, var det då jag äntligen nådde min gräns. LastPass har loggarna över vilka enheter jag har använt och min konsekventa, obönhörliga användning av webbgränssnittet i flera år. Att bli tjatad ihärdigt kommer inte att få mig att ändra den vanan.
Att exportera ditt valv är en mardröm
Konstigt nog kräver export via webbgränssnitt att man går igenom en verifieringsprocess, men webbläsartillägget kommer att hosta upp CSV-filen omedelbart.
PCWorld
Det här avsnittet var fyllt med mycket saltare språk tills jag kom ihåg att ni alla (och min redaktör) skulle läsa den. Kavla upp ärmarna, för vi kommer in på de smutsiga detaljerna med den här.
Du skulle kunna tro att om du skulle lämna en tjänst kanske företaget skulle få incitament att göra processen så enkel som möjligt – och därigenom öka chanserna att du kan komma tillbaka en dag. LastPass försöker för detta, men det gör det inte konsekvent. Och lyckligtvis fastnade jag i vilket utvecklingshål som helst som tillåter slarviga lösenordsexporter.
När du byter lösenordshanterare exporterar du vanligtvis dina valvdata till en CSV- eller XML-fil. De är grundläggande filformat som lätt kan läsas över olika program (i teorin i alla fall). LastPass exporterar endast till CSV för detta ändamål och den definierande egenskapen för formatet med kommaseparerade värden är att (som du kan förvänta dig av namnet), kommatecken används för att indikera separata datafält.
Obs: Om du exporterar alla dina lösenord till ett okrypterat format som CSV eller XML, spara det till en krypterad mapp på din dator kommer att hjälpa till att skydda dem när du går över mellan LastPass och en ny lösenordshanterare.
Jag vill vara tydlig – jag är den typen av person som om något går galet, gillar jag att förstå varför. Och när min export blev en enda röra, med en massa poster som innehöll föräldralösa data, försökte jag förstå vad jag såg.
Först trodde jag att grundorsaken var kommatecken i textfälten. Att de kanske gjorde att poster delas upp och lästes som olika poster (med data som slutar i fel fält, för att starta upp). Men det förklarade inte varför vissa poster utan kommatecken alls delades upp. Eller varför andra poster helt enkelt saknades.
Denna export via webbgränssnittet håller kommatecken på rätt ställen, men tre poster i detta testkonto saknas i CSV-filen. Webbläsartillägget exporterar dem alla korrekt.
PCWorld
Jag hade fortfarande inga tydliga svar när jag avslutade manuellt krysskontrollera varje enskild post mot originalen i LastPass, ett nödvändigt ont eftersom data var opålitliga, men att importera och städa upp röran var fortfarande snabbare än att skapa alla poster från början i den nya lösenordshanteraren.
Att prova olika webbläsare och exportmetoder (dvs. initierade via webbgränssnittet kontra webbläsartillägget) löste inte förvirringen. Det visar sig att webbgränssnittet inte exporterar alla poster (Firefox) eller direkt returnerar en tom CSV-fil (Chrome), men både Firefoxs webbgränssnittsexport och Chrome-webbläsartillägget hade samma problem med dataintegriteten. Under tiden, när jag försökte exportera på ett testkonto, blev datafälten för varje post perfekt (även om några fortfarande saknades i webbexporten).
Så gott jag kan säga påverkar antingen kontots ålder hur data lagras och tolkas på servrarna, eller så utlöser användningen av vissa specialtecken i icke-lösenordstextfält någon form av bugg i exportskriptet. Hur som helst kan du inte lita på att du faktiskt får ut alla dina lösenord intakta. Timmar in i den tråkiga processen att rädda min import, övervägde jag allvarligt att överge processen till förmån för lösenordsåterställningar för varje tjänst och låta den nya lösenordshanteraren fånga dem. Jag menar, jag var tvungen att göra det ändå som en sista försiktighetsåtgärd med tanke på säkerhetsintrången i LastPass, eller hur?
Aldrig mer.
Om du letar efter en lösenordshanterare bör du kolla in PCWorlds sammanfattning av de bästa tillgängliga idag.
