LastPass начал шифровать URL-адреса в хранилищах паролей для повышения безопасности

Менеджер паролей LastPass объявил, что начнёт шифровать URL-адреса в хранилищах пользователей для повышения конфиденциальности и защиты от утечки данных и несанкционированного доступа.

Когда пользователи посещают веб-сайт, LastPass сравнивает URL-адрес с записью в хранилище паролей, чтобы определить, сохранили ли они учётные данные, а затем предлагает ввести их автоматически. 

LastPass отмечает, что ранее URL-адреса не шифровали, чтобы снизить нагрузку на системы из-за ограничений вычислительной мощности. Теперь эти ограничения сняты, и LastPass может производить шифрование моментально, чтобы пользователь не замечал сбоев в производительности браузера.

Компания отмечает, что это шаг на пути внедрения архитектуры с нулевым разглашением, которая предназначена не только для защиты данных от внешних угроз. «URL-адреса могут содержать подробную информацию о характере учётных записей, связанных с сохранёнными учётными данными (например, банковские операции, электронная почта, социальные сети)», — объясняет Lastpass. 

Безопасность с нулевым разглашением данных основана на том, что все данные клиентов должны быть зашифрованы и, следовательно, недоступны для LastPass и хакеров.

В 2022 году в LastPass произошло два взлома, которые позволили злоумышленникам украсть исходный код, данные клиентов и производственные резервные копии, включая зашифрованные хранилища паролей. Украденные данные также включали незашифрованные URL-адреса, связанные с записями паролей. Генеральный директор LastPass Карим Тубба тогда заявил, что только клиенты знают пароли, необходимые для расшифровки хранилищ. Однако, если бы они были слабыми, то их потенциально можно было бы взломать. Позже выяснилось, что злоумышленники действительно расшифровали некоторые из