Як захистити себе від нової загрози злому LastPass

Вчора був виявлений реальний спосіб крадіжки даних з популярного менеджера паролів LastPass. Рекомендуємо вам прочитати цю статтю, щоб не попастися на вудку.
Ми використовуємо безліч онлайнових сервісів і веб-додатків, до кожного з яких в цілях безпеки необхідно мати різні логіни і паролі. Тримати їх всі в голові неможливо, тому велике розповсюдження отримали менеджери паролів. Вони забезпечують надійне зберігання і зручне використання логінів і паролів не тільки до онлайнових сервісів, але і до платіжних систем, банківськими акаунтів і так далі. Тому витік або злом такого менеджера паролів може стати великою проблемою для багатьох користувачів.
Одним з найпопулярніших додатків такого роду є LastPass. Це дійсно відмінне рішення, що пройшло перевірку часом і численними атаками хакерів. Проте вчора фахівцем з комп’ютерної безпеки Шоном Кессіді (Sean Cassidy) була виявлена можливість для фішингової атаки на LastPass. Він дотепно назвав її LostPass (загублені паролі).
Якщо коротко, знайдена уразливість виглядає наступним чином. Спочатку зловмисник заманює вас на свій сайт, який демонструє підроблене (!) повідомлення про те, що ваша сесія закінчилася і необхідно залогуватися знову. Ви напевно бачили подібні повідомлення від LastPass.
Так як повідомлення підроблене, натискання на кнопку Try Again приведе вас на спеціально створену сторінку, виглядають точно так само, як стандартна форма для введення логіна і пароля LastPass. Вона навіть адресу буде мати майже такою ж, якою зазвичай мають службові сторінки браузера, відкриваються встановленими розширеннями. За винятком невеликої деталі, яку я виділив на скріншоті. Впевнений, що більшість користувачів не звернуть на подібну дрібницю ніякої уваги.
Далі ви вводите на цій сторінці свої логін і пароль для входу в LastPass, і вони тут же потрапляють до рук хакерів. В результаті останні отримують повний доступ до всіх ваших сайтів і обліковими даними. Атака спрацьовує навіть у тому випадку, якщо у вас включена двофакторна аутентифікація, тільки послідовність дій хакера буде на один крок більше. Детальніше про роботу LostPass можна прочитати тут (англійською).
Зрозуміло, у вас виникає питання, як можна захиститися від цієї небезпеки. Поки розробники LastPass не вживуть заходів по недопущенню подібних фішингових атак, користувачі можуть тимчасово відключити браузерне розширення цього сервісу. Так, це незручно і змусить вас вручну копіювати необхідні паролі з веб-сторінки LastPass. Більш радикальний варіант полягає в пошуку рівноцінної альтернативи для зберігання паролів та конфіденційних даних.
А ви ще використовуєте LastPass або вже перейшли на який-небудь інший менеджер паролів?