Jednym z pierwszych wpisów na tym blogu (maj 2011) jest pean na cześć LastPass, software-u do zarządzania hasłami:
Temat haseł pojawia się tutaj od czasu do czasu; jest to zagadnienie ważkie aczkolwiek po pewnym czasie jednak nudne. Człowiek po prostu nabywa odpowiednich odruchów i zachowań związanych z higieną haseł i już. Każdy powinien myć nogę przynajmniej raz w tygodniu, każdy powinien dbać o swoje hasła. Wiadomo. Ja postawiłem na LastPass, bo w tamtych czasach nie było za bardzo sensownej konkurencji, a liczba kont on-line zaczynała mi się już rozłazić w szwach i nie sposób było tego ogarnąć w notatniku.
Oryginalnie LastPass był firmą całkowicie niezależną i to było fajne. Usługa była darmowa dla urządzeń jednego typu (np. tylko pecet), a żeby mieć LP na różnych urządzeniach (np. smartfon + pecet) trzeba było zapłacić raptem €12 rocznie, czyli tyle co nic. Szło im całkiem nieźle, po drodze nawet przejęli firmę XMarks specjalizującą się w synchronizacji zakładek do przeglądarek wuwuwu i przez jakiś czas w ramach subskrypcji można było też korzystać z tej opcji. Przedtem, tj. przed przejęciem XMarks przez LastPass, trzeba było zapłacić bodajże jedno czy dwa Euro rocznie za tę przyjemność. Fajna sprawa, bo wtyczki do XMarks (i potem LastPass + XMarks) były dostępne praktycznie dla każdej przeglądarki, elegancko się to wszystko synchronizowało.
Potem LastPass zlikwidował opcję synchronizowania zakładek, czyli zasadniczo ubił XMarks. Na szczęście były już wówczas dostępne natywne opcje zapisywania zakładek w chmurze przeglądarki (przynajmniej w Chrome, Firefox i Operze, bo Microsoft ze swoim IE / Edge "wpadł" na ten pomysł trochę później) więc nie było tragedii. Niestety wraz z ubiciem XMarks LastPass zrobił się trochę głodniejszy na kasę i z €12 rocznie zrobiło się €24. Też jeszcze pół biedy, bo to w końcu tylko €2 miesięcznie, czyli jak mawiają rekinowie byznesu, taniej niż jedna kawa w Coście czy innej Insomni. Pamiętam, skrzywiłem się nieco na tę podwyżkę, ale nadal bez paniki.
Niestety, pod koniec 2015 roku LastPass został przejęty przez firmę LogMeIn (kiedyś: Hamachi, pamięta ktoś jeszcze?), która natychmiast postanowiła wydoić tę krowę do sucha i podniosła cenę do €36 rocznie, a w wersji rodzinnej - €48.
To już mnie nieco rozeźliło. Hamachi było kiedyś fajnym, małym programikiem do robienia wirtualnych LAN-ów na duże odległości, używanym głównie do giercowania w sieci lokalnej. LogMeIn zrobiło z tego ogólną kobyłę do zdalnego dostępu, z milionem wodotrysków oraz obowiązkową wersją płatną (w Hamachi można było kupić wersję Pro, ale ta darmowa spokojnie wystarczała do większości rzeczy). W dodatku samo LogMeIn ostatnio zdaje się robi przebranżowienie na goto.com, jakiś komercyjny korporacyjny koszmarek. Tak czy siak, teraz zamiast osobnej, w miarę zaufanej firmy moje hasła siedzą (niby zaszyfrowane, ale wiadomo) w chmurze molocha, którego główny profil działania oryginalnie nawet nie leżał obok zarządzania hasłami. W dodatku drożyzna.
Jakieś dwa lata temu przejrzałem więc rynek, przeanalizowałem dostępne systemy konkurencji LP i stwierdziłem, że Bitwarden z tego wszystkiego pasuje mi najlepiej. Bo ma kupę opcji identycznych ze "starym" LastPass-em, bo działa na wszystkich OS-ach jakie sobie można wymyśleć, bo ma możliwość postawienia i używania własnego serwera w domu (opcja dla najbardziej nieufnych), bo ma 2FA, no i kosztuje niecałe €10 rocznie, czyli mniej niż LastPass jedenaście lat temu.
Przeniosłem się więc z całym majdanem na Bitwarden, o LastPass całkiem zapomniając. Aż do czasu kiedy skasowali mnie €36 za kolejny rok używania, bo oczywiście jako osobnik o inteligencji fortepianu nie pomyślałem, żeby tamto konto, bo ja wiem, skasować czy chociaż usunąć z niego swoją KK.
Rozeźliło mnie to już porządnie i zacząłem procedurę usuwania konta LastPass.
Nie ma tu na szczęście antywzorców zachowań tak dobrze znanych z platform typu Prime czy Netflix - wchodzi się w odpowiednią opcję, klika się "skasuj konto", potwierdza się wielki, jebitny wręcz komunikat czy aby na pewno, pojawia się zapytanie o hasło główne... i po krzyku.
Z tym, że tak mówi teoria. W praktyce zaś po zatwierdzeniu komunikatu "czy aby na pewno...?" zamiast pytania o hasło pojawia się puste okienko bez żadnych kontrolek.
No żeż...
Na szczęście jest też opcja "nie pamiętam swojego hasła", użycie której skutkuje przesłaniem na email magicznego linku do skasowania konta. Klika się ten link... i nic. To znaczy, owszem, otwiera się jakaś tam podstrona LastPass, ale zasadniczo pusta.
Myślę sobie, pewnie adblocker mi miesza. Wyłączam adblockera, próbuję znów obydwu metod... i to samo, czyli dalej nic.
Sięgam więc po cięższą artylerię: obsługa klienta. Okazuje się, że jedyny sposób, żeby się skontaktować z supportem LastPass, to podać im swój numer telefonu, oddzwonią.
Dziwne, no ale co zrobić. Proszę we formularzu online o call-back i faktycznie 3 minuty później odbieram telefon. Następnie przez dobre 15 minut tłumaczę agentowi o mocno hinduskim akcencie na czym polega problem, on mi opowiada jak pięciolatkowi jak się kasuje konto, ja mu mówię, że te metody nie działają i tak w koło Macieju. Wreszcie gość wpada na pomysł, żebym mu podesłał screenshoty z problemem to on to prześle do jakiegoś bardziejszego nadszyszkownika, ku chwale jojczyzny. Tak też robimy.
Dwa dni później przychodzi od nich sążnisty email z prośbą o weryfikację. A więc: kiedy się ostatnio logowałem. Ile mam mniej więcej klamotów na swoim koncie. Czy używam takiej opcji. Takiej. I jeszcze takiej. Z jakich lokalizacji, przeglądarek, adresów IP, urządzeń się logowałem. Jakie mam URL-e w sejfie (czym rzadsze tj. mniej popularne, tym lepiej dla mnie). Od kiedy używam LP. Od kiedy używam wersji Premium. Kiedy ostatni raz zmieniałem hasło główne. I tak dalej, panie. Ogólnie chyba ze 25 pytań, żeby firma miała pewność, że ja to faktycznie ja, bo kasowanie konta to jednak nie przelewki.
Odpowiadam pracowicie (mrówcza praca, pozbierać te wszystkie informacje), czekam kolejne dwa dni, w końcu dostaję upragnioną wiadomość: konto skasowane. Sprawdzam, rzeczywiście, nie da się już zalogować.
Uff.
O ile znam swoje zezowate szczęście, pewnie lada chwila ktoś wykupi Bitwarden i albo wywinduje ceny w kosmos, albo ubije, ku chwale konkurencji. Póki co - jest spoko.
Nie ufam i nigdy nie ufałem wynalazkom typu LastPass. Korzystam z mniej więcej 10 bezpiecznych haseł (kombinacja liter, znaków i liczb), które utworzyłem metodą skojarzeniowo-mnemotechniczną, więc nietrudno mi je pamiętać. Jedynym problemem bywa przypomnienie sobie jakiego hasła użyłem na jakiej stronie — szczególnie w przypadku witryn, na które loguję się sporadycznie — ale i tu wymyśliłem rozwiązanie: prosty system, którym kojarzę sobie hasło z nazwą strony.
Dla 10 haseł jest w miarę spoko. W moim sejfie LastPass było w szczytowym momencie ponad 600 pozycji- tu już żadna mnemotechnika nie pomoże.
Dodatkowe ryzyko z używaną przez Ciebie metodą jest takie, że w momencie jeżeli któreś z Twoich haseł wycieknie (a może nawet więcej niż jedno), atakujący może próbować wykombinować tą mnemotechniczną metodę, odgadując (względnie) prosto inne hasła.
Najpewniejsza metoda to (1) mieć inne, długie, całkowicie losowe hasło do każdego miejca oraz (2) trzymać je w sejfie zabezpieczonym 2FA / MFA. No i mieć pewność, że dostawca sejfu używa właściwych metod zabezpieczających (na przykład szyfrowania z bardzo dużą liczbą rund – rzędu setek tysięcy lub milionów, czym więcej tym lepiej) sprawiających, że atak brute-force na offline-owej “ukradniętej” kopii sejfu będzie kompletnie dla atakującego nieopłacalny nawet jeżeli ma on bardzo szybkie komputery.
No i na zakończenie, dwie uniwersalne prawdy w temacie łamania haseł: (1) jeżeli ktoś ma się włamać żeby ukraść €1,000, raczej nie zainwestuje €10,000 w sprzęt oraz (2) https://xkcd.com/538/ 🙂
A dlaczegóż nie KeePass? Czy tylko dlatego, że z LP nie trzeba samemu stawiać serwera do synchronizowalnej bazy, czy jeszcze jakieś inne powody?
KeePass jest spoko i daje więcej możliwości, ale z drugiej strony jest bardziej skomplikowany w obsłudze, a ja potrzebuję czegoś prostego. Dlatego postawiłem na Bitwarden.