Σύσταση μη χρήσης του LastPass, λόγω της ενσωμάτωσης web trackers σε αυτό

[nnn]

Λίγες ημέρες μετά την ανακοίνωση της περιορισμένης λειτουργικότητας στην δωρεάν της έκδοση - η γνωστή εφαρμογή διαχείρισης password, LastPass- βρίσκεται στο στόχαστρο για την ύπαρξη 7 web trackers στην εφαρμογή για Android.

Αναλυτικά η έκθεση αναφέρει:

LastPass Android: Third-party providers monitor every step

LastPass is a widely used password manager. The app has over 10 million installations in the Google Play Store alone. With Exodus Privacy , I briefly checked whether the app contains known tracker signatures. A total of seven trackers were found :

AppsFlyer
Google Analytics
Google CrashLytics
Google Firebase Analytics
Google Tag Manager
MixPanel
segment

For an app that processes extremely sensitive data (passwords), this is simply an indictment. Advertising and analytics modules simply have no place in this - it is completely out of the question to integrate them into password manager apps. Or to put it in general terms: no proprietary and non-transparent third-party code may be integrated into apps in which sensitive data is processed . Which data these modules collect and transmit to the third-party providers is sometimes not even known to the app developers themselves, who integrate these modules into their apps.

Even if the result of Exodus Privacy suggests, only an analysis of the network traffic is really meaningful. With Exodus Privacy we can only say: Yes, the corresponding tracking code or the tracker is available. With Exodus Privacy, however, no statement can be made as to whether this is actively tracking - the app must be checked manually for this.

Below I've done this with the Android version of LastPass (version 4.11.18.6150). The results are shortened to relevant events.

App start: Immediately after the start (no user interaction)

[1] Immediately after starting the app, it contacts almost all tracking providers that Exodus Privacy discovered during its analysis:

Google Firebase Analytics (firebaseinstallations.googleapis.com)
Segment (cdn-settings.segment.com)
Google CrashLytics (firebase-settings.crashlytics.com)
AppsFlyer (inapps.appsflyer.com)
Mixpanel (api.mixpanel.com)
Google Analytics (ssl.google-analytics.com)

In tracker bingo someone would probably call out:

The user is not even asked whether he or she agrees to the data transfer to the third party provider.

Ο αναλυτής Mike Kuketz, συστήνει στους χρήστες να μεταφερθούν σε κάποιον άλλο password manager.

Πηγή : Kuketz Security στα Γερμανικά

Gpogle Translate στα Αγγλικά εδώ

[fasdf]

Bitwarden ftw

[Zus]

Προσωπικά τα έχω αποθηκευμένα στον συγχρονισμό firefox χωρίς ενδιάμεσο πρόγραμμα δηλαδή. Ότι αποθηκεύω στο PC είναι διαθέσιμο και στο κινητό άμεσα.

Όχι ότι του Firefox είναι άτρωτο αλλά κάτι πρέπει να χρησιμοποιηθεί.

[androu]

έχετε να προτείνετε κάποιο εναλλακτικό ; έτσι κ αλλιώς τώρα απο 16 του μήνα θα παίζει μόνο σε μια συσκευή και όχι σε όλες.... πχ επιλέγεις αν θα ειναι pc ή τηλέφωνο κτλπ

[ZaNteR]

έχετε να προτείνετε κάποιο εναλλακτικό ; έτσι κ αλλιώς τώρα απο 16 του μήνα θα παίζει μόνο σε μια συσκευή και όχι σε όλες.... πχ επιλέγεις αν θα ειναι pc ή τηλέφωνο κτλπ

χαρτι και στιλο.

Τιποτα δεν ειναι ασφαλες.

[Zus]

Off Topic

χαρτι και στιλο.

Τιποτα δεν ειναι ασφαλες.

Εντάξει, έχεις 50άρα αλλά δεν χρειάζεται τέτοια επίδειξη στην υπογραφή σου.

[minas]

έχετε να προτείνετε κάποιο εναλλακτικό ; έτσι κ αλλιώς τώρα απο 16 του μήνα θα παίζει μόνο σε μια συσκευή και όχι σε όλες.... πχ επιλέγεις αν θα ειναι pc ή τηλέφωνο κτλπ

Keepass, 1Password, Bitwarden.

[alefgr]

Keepass και από εμένα. Το δουλεύουμε επαγγελματικά αρκετά χρόνια τώρα χωρίς το παραμικρό πρόβλημα ασφάλειας.

[JpegXguy]

Bitwarden

[bomberb17]

Οι browsers έχουν πλέον δικούς τους ενσωματωμένους password managers. Αυτό που δεν έχω βρει απάντηση ακόμα είναι αν τα passwords αποθηκεύονται σε plaintext στους servers τους ή όχι.

[Simpleton]

Οι browsers έχουν πλέον δικούς τους ενσωματωμένους password managers. Αυτό που δεν έχω βρει απάντηση ακόμα είναι αν τα passwords αποθηκεύονται σε plaintext στους servers τους ή όχι.

Εκεί πρέπει να εμπιστευτείς την κάθε εταιρεία. Ο Firefox σου δίνει πάντως τη δυνατότητα να στήσεις τον server σε δικό σου σύστημα:
https://github.com/mozilla-services/syncserver

Keepass και από εμένα. Το δουλεύουμε επαγγελματικά αρκετά χρόνια τώρα χωρίς το παραμικρό πρόβλημα ασφάλειας.

+1. Σε συνδυασμό με το Syncthing με έχει βολέψει πολύ.

[bomberb17]

Εκεί πρέπει να εμπιστευτείς την κάθε εταιρεία. Ο Firefox σου δίνει πάντως τη δυνατότητα να στήσεις τον server σε δικό σου σύστημα:
https://github.com/mozilla-services/syncserver

Απότι διάβασα τελικά ο FF τα αποθηκεύει τα passwords encrypted
https://support.mozilla.org/en-US/kb...aves-passwords
Θεωρώ ότι και οι υπόλοιποι browsers κάνουν κάτι αντίστοιχο.
Σίγουρα όποιον password manager επιλέξεις, είτε ενσωματωμένου browser είτε ξεχωριστό, εμπιστεύεσαι αναγκαστικά ότι είναι στημένο σωστά και δεν έχει security holes.
Πάντως δε βλέπω τα lastpass, 1password κλπ να προσφέρουν κάτι παραπάνω από πλευράς ασφάλειας σε σχέση με τους browsers, πέρα από το ότι έχουν κάποιες επιπλέον βοηθητικές λειτουργίες.

[Wonderland]

Τελικά μάλλον είχαν δίκιο όσοι προβληματίστηκαν με την εξαγορά του LastPass από την LogMeIn το 2015. Νομίζω η κάτω βόλτα ξεκίνησε κάπου εκεί.

[Gentoo]

χαρτι και στιλο.

Τιποτα δεν ειναι ασφαλες.

Παίρνω το post σου ως βάση, γιατί είναι κάτι που το κάνουν πολλοί γνωστοί μου.

Δεν βρισκόμαστε στο 1960 να σημειώνουμε στα τεφτέρια...

Το γεγονός πως η πλειονότητα του κόσμου χρησιμοποιεί μη ασφαλή/ανενημέρωτα λειτουργικά, δεν σημαίνει πως "τίποτα δεν είναι ασφαλές".

Υπάρχουν σοβαρά* λειτουργικά συστήματα (GNU/linux, FreeBSD) και σοβαροί*, open source password managers (keepass) να επιλέξει όποιος σέβεται την ασφάλεια και το privacy του.

Και στην τελική, τι να το κάνεις το χαρτί και το στυλό, αν στο σύστημα έχει εγκατασταθεί keylogger ή αν το free wifi δίκτυο στο οποίο συνδέθηκες χωρίς vpn, παρακολουθείται; Τζάμπα ταλαιπωρία για 'σένα, αφού η ζημιά θα γίνει όπως και να 'χει.

Με τον όρο σοβαρό, αναφέρομαι στη διαχείριση τέτοιων δεδομένων.

[aiolos.01]

Keepass και keepass droid απο εμένα. Και ΠΟΤΕ συγχρονισμός online. Το password file είναι local και μόνο local.