라스트 패스

LastPass
라스트 패스
산업패스워드 관리
컴퓨터 보안
설립.2008년, 14년 전(2008년)
본사
미국
주요 인물
Karim Toubba (CEO, 2022)
수익.2억달러 (최소)
종업원수
350 (2021)
웹 사이트lastpass.com
각주/참고 자료
[1][2]

LastPass는 암호화된 암호를 온라인으로 저장하는 프리미엄 암호 관리자입니다.LastPass의 표준 버전은 웹 인터페이스와 함께 제공되지만, 다양한 웹 브라우저와 많은 [3]스마트폰용 앱을 위한 플러그인도 포함되어 있습니다.북마크렛 [4]지원도 포함되어 있습니다.주식회사 LogMeIn( GoTo)은 [5]2015년 10월에 LastPass를 인수.2021년 12월 14일, LogMeIn은 LastPass를 별도 회사로 만들고 출시 일정을 [6]가속화할 것이라고 발표했다.

개요

암호 및 보안 노트를 포함한 LastPass의 사용자 콘텐츠는 하나의 마스터 암호로 보호됩니다.콘텐츠는 사용자가 LastPass 소프트웨어 또는 앱 확장을 사용하는 모든 장치와 동기화됩니다.정보는 PBKDF2 SHA-256을 사용한AES-256 암호화, salated hash 및 패스워드 반복값 증가 기능을 사용하여 암호화됩니다.암호화 및 복호화는 디바이스 수준에서 이루어집니다.[3][7]

LastPass에는 비밀번호 입력 및 폼 입력을 자동화하는 폼필러가 있으며 비밀번호 생성, 사이트 공유 및 사이트 로깅, 2단계 인증을 지원합니다.LastPass는 휴대폰용 LastPass Authenticator 앱 등 다양한 방법으로 2단계 [8]인증을 지원합니다.LastPass는 Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Vivaldi Opera를 포함한 많은 웹 브라우저의 확장으로 사용할 수 있습니다.또한 Android, iOS 또는 Windows Phone 운영 체제를 실행하는 스마트폰에서 사용할 수 있는 앱도 있습니다.앱에는 오프라인 [3]기능이 있습니다.LastPass는 사용자가 자동으로 비밀번호를 브라우저에 저장할 수 있도록 Google Chrome 브라우저 설정을 차단합니다.[https://support.google.com/chrome/a/thread/7312208/how-do-i-change-offer-to-save-password-bar-when-it-s-locked?hl=en 참조]

다른 주요 암호 관리자와 달리 LastPass는 사용자가 설정한 암호 힌트를 제공하여 마스터 암호가 [9]없을 때 액세스할 수 있도록 합니다.

역사

2010년 12월 2일, LastPass는 브라우저 간의 패스워드 동기화를 가능하게 하는 웹 브라우저 확장 기능인 Xmarks를 인수했다고 발표했습니다.이번 인수는 자금난을 겪었던 Xmarks의 생존을 의미했고, 두 서비스는 별개로 유지되었지만, [10][11]두 서비스를 결합하는 유료 프리미엄 가입의 가격 인하로 이어졌다.LastPass [12]사용자에게 보낸 이메일에 따르면, 2018년 3월 30일 Xmarks 서비스가 2018년 5월 1일에 종료된다고 발표되었습니다.

2015년 10월 9일 LogMeIn, Inc.는 LastPass를 1억1000만달러에 인수했습니다.이 회사는 이미 LogMeIn에 [5][13][14]인수된 유사한 제품인 Meldium과 LastPass 브랜드로 합병되었다.

2016년 2월 3일, 라스트 패스는 새로운 로고를 공개했다.별표가 눈에 띄게 들어간 이전 로고는 2015년 초 E-Trade에 의해 제기된 상표 소송의 주제였으며, 그 로고도 [15]별표가 붙어 있다.

2016년 3월 16일, LastPass는 무료 2단계 인증 [16][17]앱인 LastPass Authenticator를 출시했습니다.

2016년 11월 2일, LastPass는 무료 계정이 이전에는 유료 계정에서만 사용되던 기능인 모든 기기에 사용자 콘텐츠를 동기화할 수 있도록 지원한다고 발표했습니다.이전에 이 서비스의 무료 계정은 콘텐츠를 하나의 [18][19]앱에만 동기화한다는 것을 의미했습니다.

2017년 8월, LastPass는 패스워드, 은행 계좌 정보 및 기타 기밀 데이터를 가족 구성원 간에 공유하기 위한 패밀리 플랜인 LastPass Families를 연간 $48로 발표했습니다.또한 새로운 기능을 추가하지 않고 Premium 버전의 가격을 두 배로 높였습니다.대신 무료 버전의 일부 기능이 [20]제거되었습니다.

2021년 2월 16일, LastPass는 3월 16일부터 무료 버전을 데스크톱 또는 모바일 기기에서만 사용할 수 있게 될 것이라고 발표했습니다.이 두 가지를 계속 사용하려면 프리미엄 버전(예: 유료)을 지불해야 합니다.또한 동시에 [21]무료 사용자에 대한 이메일 지원도 중단됩니다.

접수처

2009년 3월 PC Magazine은 LastPass에 패스워드 관리에 [22]대해 별 5개, "Excellent" 마크 및 "Editors' Choice"를 수여했습니다.2016년 LastPass 4.0 출시 후 새로운 리뷰를 통해 다시 별 5개, "Outstanding" 마크, "Editors Choice"의 [23]영예를 안았습니다.

2010년 7월, LastPass의 보안 모델은 Steve Gibson의 Security Now 팟캐스트 에피소드 [24]256에서 광범위하게 다뤄지고 승인되었습니다.그는 또한 "보안 나우" 팟캐스트 에피소드 [25]421에서 이 주제와 그것이 국가안보국과 어떻게 관련되어 있는지를 다시 살펴보았다.

2015년 10월 LogMeIn이 LastPass를 인수했을 때 설립자 Joe Siegrist의 블로그는 LogMeIn에 대한 비판의 목소리를 내는 사용자 댓글로 가득 찼다.[26] ZDNet, Forbes 및 Infowold는 기존 고객들의 항의를 언급하는 기사를 게재했으며, 일부는 LogMeIn과의 거래를 거부한다고 말했으며 LogMeIn의 평판에 [27][28][29]대한 다른 우려를 제기했다.

2017년 Consumer Reports 기사에서 Trail of Bits의 CEO인 Dan Guido는 LastPass를 Dashlane, KeePass, 1Password함께 인기 있는 패스워드 매니저라고 불렀습니다.이들 중 하나를 선택하는 것은 대부분 개인적인 [9]취향입니다.2019년 3월, Lastpass는 제7회 사이버 디펜스 매거진 InfoSec [30]Awards에서 Best Product in Identity Management 상을 수상했습니다.

2021년 2월, LastPass가 프리티어를 한 종류의 디바이스로 제한한 것에 대한 대응으로, Forbes의 Barry Collins는 이 변경을 프리티어를 [31]"전보다 훨씬 덜 유용하게" 만드는 "Bait and Switch"라고 불렀습니다.

보안 문제

2011년 보안 사고

2011년 5월 3일 화요일, LastPass는 수신 네트워크 트래픽에서 이상을 발견했으며, 그 후 발신 트래픽에서도 유사한 이상을 발견했습니다.관리자는 일반적인 보안 침해의 특징(예를 들어 비관리자 사용자가 관리자 권한으로 승격됨)을 찾을 수 없었지만 이상 징후의 원인을 파악할 수 없었습니다.또한 이상 징후 크기를 고려할 때 이론적으로 이메일 주소, 서버 솔트 및 소금에 절인 비밀번호 해시 등의 데이터가 LastPass 데이터베이스에서 복사되었을 수 있습니다.이 상황에 대처하기 위해 LastPass는 "브레이치된" 서버를 다시 빌드할 수 있도록 오프라인으로 전환하고 2011년 5월 4일 모든 사용자에게 마스터 비밀번호 변경을 요청했습니다.그들은 고객 정보가 유출되었다는 직접적인 증거는 없지만, 주의를 기울이는 편이라고 말했다.그러나 결과적으로 발생하는 사용자 트래픽은 로그인 서버를 압도하고, 기업 관리자는 기존 비밀번호가 침해되었을 가능성이 매우 적다는 점을 고려하여 사용자에게 비밀번호 변경을 추후 [32][33]통지할 때까지 연기할 것을 요청했습니다.

2015년 보안 침해

2015년 6월 15일 월요일, LastPass는 LastPass 팀이 지난 금요일 네트워크에서 의심스러운 활동을 발견하고 중지했음을 나타내는 블로그 게시물을 게시했습니다.조사 결과 LastPass 계정 이메일 주소, 암호 미리 알림, 사용자당 서버 솔트 및 인증 해시가 손상되었지만 암호화된 사용자 볼트 데이터는 영향을 받지 않았습니다.이 회사의 블로그는 다음과 같이 말하고 있습니다.「우리의 암호화 대책은, 대부분의 유저를 보호하기에 충분하다고 확신하고 있습니다.LastPass는 클라이언트 측에서 실행되는 라운드에 더해 랜덤솔트 및 100,000 라운드의 서버 측 PBKDF2-SHA256을 사용하여 인증 해시를 강화합니다.이러한 추가 강화로 인해 도난당한 해시를 상당한 [34][35]속도로 공격하는 것이 어려워졌습니다."

2016년 보안 사고

2016년 7월, 독립 온라인 보안 회사 Detectify가 게시한 블로그 게시물에는 LastPass 사용자의 볼트에서 임의의 도메인에 대한 일반 텍스트 암호를 읽는 방법이 자세히 나와 있습니다.이 취약성은 LastPass 확장의 URL 구문 분석 코드가 잘못 작성되었기 때문에 발생할 수 있습니다.이 결함은 LastPass가 개인적으로 통보되고 브라우저 [36]확장을 수정할 수 있을 때까지 Detectify에 의해 공개적으로 공개되지 않았습니다.LastPass는 Detectify의 공개에 대해 자체 블로그에 올린 글에서 Google 보안 팀원이 발견했으며 LastPass가 [37]이미 수정한 추가 취약성에 대한 지식을 공개했습니다.

2017년 보안 사고

3월 20일 Tavis Ormandy는 LastPass Chrome 확장의 취약성을 발견했습니다.Chrome, Firefox 및 Edge를 포함한 모든 LastPass 클라이언트에 적용된 공격입니다.이러한 취약성은 3월 21일에 비활성화되어 3월 [38]22일에 패치 적용되었습니다.

3월 25일 Ormandy는 악의적인 웹 사이트로 이동하는 사용자를 기반으로 원격 코드를 실행할 수 있는 추가적인 보안 결함을 발견했습니다.이 취약성도 [39][40]패치 적용되었습니다.

2019년 보안 사고

2019년 8월 30일 금요일 Tavis Ormandy는 LastPass 브라우저 확장의 취약성을 보고했으며 악의적인 JavaScript 코드를 가진 웹 사이트가 이전에 방문한 [41][42]사이트의 암호 관리자가 삽입한 사용자 이름과 암호를 얻을 수 있습니다.2019년 9월 13일, Lastpass는 공개적으로 이 취약성을 발표하면서 문제가 Google Chrome 및 Opera 확장으로만 제한되었음을 인정했습니다. 그럼에도 불구하고 모든 플랫폼이 취약점 [43]패치를 받았습니다.[44]

2021년 서드파티 추적기 및 보안 사고

2021년에 안드로이드 앱에 서드파티제의 [45]트래커가 포함되어 있는 것이 판명되었습니다.또한 2021년 말, Bleiping Computer 사이트의 기사에 따르면 LastPass 사용자는 마스터 패스워드가 [46]침해되었다는 경고를 받았습니다.

레퍼런스

  1. ^ [https://www.nytimes.com/2015/04/03/business/president-of-saks-steps-down.html?src=busln LastPass에 새로운 CEO가 취임했습니다]보스턴 글로브요2022년 5월 20일 취득.
  2. ^ "LastPass to stand alone as LogMeIn owners say they'll spin off the password management company". Retrieved 2022-05-20.
  3. ^ a b c "The best way to manage passwords". LogMeIn. Retrieved 8 August 2018.
  4. ^ "Bookmarklets". LogMeIn. Archived from the original on 26 February 2017. Retrieved 8 August 2018.
  5. ^ a b Siegrist, Joe (9 October 2015). "LastPass Joins the LogMeIn Family". blog.lastpass.com. LogMeIn. Retrieved 8 August 2018.
  6. ^ "LastPass Investing Even More in Your Password Security in 2022". LogMeIn. Retrieved 14 Dec 2021.
  7. ^ Hoffman, Chris (9 August 2012). "11 Ways to Make Your LastPass Account Even More Secure". How-To Geek.
  8. ^ Eddy, Max (30 March 2016). "LastPass Authenticator (for iPhone)". PCMag. Ziff Davis.
  9. ^ a b Chaikivsky, Andrew (7 February 2017). "Everything You Need to Know About Password Managers". Consumer Reports.
  10. ^ Gott, Amber (2 December 2010). "LastPass Acquires Xmarks!". blog.lastpass.com. LogMeIn.
  11. ^ Purdy, Kevin (2 December 2010). "LastPass Acquires Xmarks, Keeping Free Bookmark-Syncing Plans Available". Lifehacker. Gizmodo Media Group.
  12. ^ Brinkmann, Martin (1 April 2018). "LogMeIn to shut down Xmarks on May 1, 2018". gHacks. Archived from the original on 1 April 2018.
  13. ^ Brodkin, Jon (9 October 2015). "LogMeIn buys LastPass password manager for $110 million". Ars Technica. Condé Nast.
  14. ^ Perez, Sarah (9 October 2015). "LogMeIn Acquires Password Management Software LastPass For $110 Million". TechCrunch. Oath Tech Network.
  15. ^ Siegriest, Joe. "Meet the New LastPass Logo". LastPass. Retrieved November 2, 2016.
  16. ^ Gott, Amber (16 March 2016). "LastPass Authenticator Makes Two-Factor Easy". blog.lastpass.com. LogMeIn.
  17. ^ Whitwam, Ryan (16 March 2016). "LastPass Releases Its Own 2-Factor Mobile Authenticator App". AndroidPolice. Illogical Robot.
  18. ^ Siegriest, Joe (2 November 2016). "Get LastPass Everywhere: Multi-Device Access Is Now Free!". blog.lastpass.com. LogMeIn.
  19. ^ Kastrenakes, Jacob (2 November 2016). "There's now one less excuse not to use a password manager". The Verge. Vox Media.
  20. ^ Maring, Joe (3 August 2017). "LastPass announces pricing for 'Families' plan; doubles cost of Premium option". 9to5Google.
  21. ^ "Changes to LastPass Free". LastPass. 16 February 2021. Retrieved 16 February 2021.
  22. ^ Rubenking, Neil (20 March 2009). "LastPass 1.50 Review". PCMag. Ziff Davis. Archived from the original on 24 March 2009.{{cite web}}: CS1 유지보수: 부적합한 URL(링크)
  23. ^ Rubenking, Neil (November 2, 2016). "LastPass 4.0 Review". PC Magazine. Retrieved November 2, 2016.
  24. ^ Gibson, Steve; Laporte, Leo (10 June 2010). "Security Now 256: LastPass Security". TWiT.tv.
  25. ^ Gibson, Steve; Laporte, Leo (11 September 2013). "Security Now 421: The Perfect Accusation". TWiT.tv.
  26. ^ Brodkin, Jon (9 October 2015). "LogMeIn buys LastPass password manager for $110 million". Ars Technica. Condé Nast.[검증 필요]
  27. ^ "LastPass bought by LogMeIn for $110 million; ... outcry from LastPass users, some of whom say they refuse to do business with LogMeIn". ZDNet. 2015-10-09. Retrieved 2019-06-12.[검증 필요]
  28. ^ "LastPass Joins LogMeIn, But Not Everyone Is Thrilled About It". Forbes. 2015-10-09. Retrieved 2019-06-12.[검증 필요]
  29. ^ "LogMeIn acquires LastPass to beef up identity portfolio". InfoWorld. 2015-10-09. Retrieved 2019-06-12.[검증 필요]
  30. ^ Shah, Megha (20 March 2019). "LastPass by LogMeIn Awarded 2019 InfoSec Recognition". Tech Funnel.
  31. ^ Collins, Barry. "LastPass Breaks Free Accounts: Where To Store Your Passwords Now?". Forbes. Retrieved 2021-02-17.
  32. ^ Siegrist, Joe (16 May 2011). "LastPass Security Notification". blog.lastpass.com. LogMeIn.
  33. ^ Raphael, JR (5 May 2011). "LastPass CEO Explains Possible Hack". PC World. IDG.
  34. ^ Siegrist, Joe (10 July 2015). "LastPass Security Notice". blog.lastpass.com. LogMeIn.
  35. ^ Goodin, Dan (June 15, 2015). "Hack of cloud-based LastPass exposes hashed master passwords". Ars Technica. Condé Nast.
  36. ^ Karlsson, Mathias (27 July 2016). "How I made LastPass give me all your passwords". Detectify Labs. Detectify.
  37. ^ Gott, Amber (27 July 2016). "LastPass Security Updates". blog.lastpass.com. LogMeIn.
  38. ^ Gott, Amber (22 March 2017). "Important Security Updates for Our Users". blog.lastpass.com. LogMeIn.
  39. ^ Ormandy, Travis (25 March 2017). "{Untitled}". @taviso. Twitter.
  40. ^ Siegrist, Joe (27 March 2017). "Security Update for the LastPass Extension". blog.lastpass.com. LogMeIn.
  41. ^ at 19:36, Shaun Nichols in San Francisco 16 Sep 2019. "How much pass could LastPass pass if LastPass passed last pass? Login-leaking security hole fixed". www.theregister.co.uk. Retrieved 2019-09-26.
  42. ^ "A Password-Exposing Bug Was Purged From LastPass". Wired. ISSN 1059-1028. Retrieved 2019-09-26 – via www.wired.com.
  43. ^ "Issue 1930 - project-zero - Project Zero - Monorail". bugs.chromium.org. Retrieved 2019-09-17.
  44. ^ Goodin, Dan (2019-09-16). "Password-exposing bug purged from LastPass extensions". Ars Technica. Retrieved 2019-09-17.
  45. ^ Hendrickson, Josh. "The LastPass Android App Contains 7 Trackers From Third Party Companies 😬". Review Geek. Retrieved 20 March 2021.
  46. ^ Gatlan, Sergiu. "LastPass users warned their master passwords are compromised". BleepingComputer. Retrieved 28 December 2021.

외부 링크