LastPass: downfall saga continues

LastPass trackers

Вскоре после попытки шантажа от LastPass пришли очень интересные новости, которые могут заставить пересмотреть свое решение пользоваться их Premium сервисом даже самых ленивых и тяжелых на подъем пользователей.

Немецкий security researcher Mike Kuketz исследуя мобильное приложение LastPass обнаружил там 7 треккеров пользователей! СЕМЬ!

Further inspection doesn’t suggest that the trackers transferred any username or password data, but it does seem to know when the user creates a password and what type. Kuketz says that including a tracking code of this type in a password manager (or similar security-focused app) isn’t acceptable, as the developers can’t be fully aware of what the tracking code collects. That’s because trackers often use proprietary code that isn’t open for inspection.

The amount of data does seem to be extensive, revealing information about the device in use, the cell phone carrier, the type of LastPass account, and the user’s Google Advertising ID (used to connect data about the user across apps). It’s enough data to build an extensive profile around the most private information you store.

Подробности:

Ориентируясь на кол-во трекеров в аналогах, я буду выбирать между Bitwarden или 1Password, либо посмотрю что-то self-hosted.

LastPass extortion

Многолетний опыт сетевой жизни не проходит бесследно, особенно если ты любитель пробовать новые сервисы/сайты/технологии.
Ты точно знаешь, что новости о продаже компании говорят вовсе не о “прекрасном новом будущем”, как бы не хотелось в этом убедить тебя фаундерам в письмах с объявлениями о слиянии с [подставь сюда название сетевого гиганта]. Опытный сетевой жилец знает, что новости о продаже – повод сделать бекап своих данных и начать искать альтернативу.

Продажа LastPass LogMeIn на это намекала, за 5 лет с продажи стоимость Premium сервиса выросла, а возможности бесплатного аккаунта постоянно урезались.
Но в конце 2019 года было объявлено о продаже LogMeIn крупному хедж-фонду и вот тут-то запахло жаренным особенно явно, и ждать плохих новостей долго не пришлось: в августе 2020 сделка была завершена, а вчера LastPass разослал своим пользователям письма, информирующие о новых ограничениях для Free аккаунтов, которые явно направлены на то, чтобы заставить максимальное количество пользователей перейти на платное обслуживание, так как Free аккаунты фактически становятся бесполезными.

Что они придумали?
Ограничить не кол-во устройств на которых будет работать синхронизация паролей, а ограничить ТИП этих устройств.
В эпоху, когда пользователи пользуются мобильным интернетом примерно также часто (если не чаще), как интернетом на десктопах и ноутбуках, лишать их возможности синхронизировать эти 2 типа устройств – ИЗДЕВАТЕЛЬСТВО и откровенная попытка шантажа.

LastPass extrortion

Вот только, такое откровенное выжимание людей на платное обслуживание работает только если у них нет альтернатив, и ТОЛЬКО пока у них нет альтернатив. Порча карма, утрата доверия – назови как хочешь, люди не забывают шантаж и выдвижение ультиматумов (как там дела у Flickr?) и сваливают либо сразу, либо при первой же возможности.

Хороших менеджеров паролей за 13 лет существования LastPass появилось в достатке, есть из чего выбрать.
Thank you, LastPass, next!

*****

LastPass logo

Today i finally finished massive project of whipping into shape my passwords database.
I implemented a password generation system, which allows me to remember any password without reliance on password managers.

Mission accomplished
LastPass security challenge results

my first score was 8.9% with 130 websites using 5 duplicate passwords.

links:

KeePass | LastPass | LastPass for browsers