Zmieniłem LastPass na 1Password (i Ty też powinieneś)

Pomarańcze

Używam LastPass jako mojego głównego menedżera haseł od wielu lat – gdybym miał zgadywać, powiedziałbym, że teraz musi to być blisko 10 lat. I przez te lata mnie to zawiodło, rozczarowało i wielokrotnie frustrowało. Kilka tygodni temu w końcu przeszedłem na 1Password. Powinienem to zrobić wieki temu.

Żeby było jasne, nie ma nic rażącego złego w LastPass – a przynajmniej tak sobie powtarzałem przez wiele lat. Jasne, aplikacja na Androida nie zawsze automatycznie uzupełnia opcje, a rozszerzenie Chrome pozostaje zalogowane dosłownie przez cały czas. Na przestrzeni lat aplikacja doznała również wielu naruszeń bezpieczeństwa danych. Ale to wszystko jest na równi z kursem, prawda?

Nawet nie blisko.

Szczerze mówiąc, nie zdawałem sobie sprawy, jak biedny jest menedżer haseł LastPass, dopóki nie użyłem 1Password. Problemy z autouzupełnianiem Androida to jedno – w najlepszym razie niewielka irytacja – ale słaba implementacja zabezpieczeń dla aplikacji, która ma przechowywać niektóre z twoich najbardziej prywatnych informacji, jest wręcz niewybaczalna.

Protokoły bezpieczeństwa LastPass są żałosne

Jeśli masz konto LastPass, wiesz już, jak to działa: instalujesz aplikację lub wchodzisz na stronę internetową i logujesz się. Może masz też włączone uwierzytelnianie dwuskładnikowe na swoim koncie – dobrze dla Ciebie. Ale jest to opcjonalne, a jeśli jeszcze nie wiesz, że LastPass oferuje 2FA, to jest prawie pewne, że nie masz go włączonej. (Jak w końcu możesz włączyć coś, czego nie byłeś świadomy?)

A jeśli zainstalujesz rozszerzenie Chrome, wystarczy zalogować się tylko raz. Po tym czasie, dopóki komputer pozostanie online, nigdy nie zostaniesz poproszony o ponowne zalogowanie. W tym momencie każdy, kto ma dostęp do twojego komputera, ma również dostęp do twoich haseł. To katastrofa, która tylko czeka, aby się wydarzyć. Możesz zmienić to zachowanie w ustawieniach rozszerzenia LastPass, ale jest po prostu zaskakujące, że automatyczna blokada nie jest domyślnie włączona. Nie powinieneś wybierać lepszego bezpieczeństwa, zwłaszcza w menedżerze haseł.

Ale 1Password robi rzeczy inaczej. Przede wszystkim nie tylko wymusza to 2FA z pudełka, ale ustawia „tajny klucz" podczas tworzenia konta. Jest to bardzo złożony klucz, który jest wymagany za każdym razem, gdy logujesz się na nowym urządzeniu (uwaga: tylko przy pierwszym logowaniu — po potwierdzeniu urządzenia możesz zalogować się tylko przy użyciu nazwy użytkownika i hasła. Klucz jest automatycznie generowany i udostępniany w dokumencie po zarejestrowaniu się w 1Password. Ten klucz jest również przechowywany na zaufanych urządzeniach, więc łatwo je zabezpieczyć, ale trudno je zgubić.

To znacznie wyższy poziom bezpieczeństwa wszystkich Twoich haseł. Wiesz, co jeszcze 1Password robi, że LastPass nie? Domyślnie automatycznie blokuj skarbiec w rozszerzeniu Chrome. Zarówno 1Password, jak i LastPass blokują skarbiec po okresie braku aktywności na urządzeniu mobilnym, ale to samo nie dotyczy rozszerzeń przeglądarki. To zdumiewające. (Jeśli używasz LastPass i nie chcesz się przełączać, włącz tę funkcję Opcje konta> Preferencje rozszerzeń> Wyloguj się po tylu minutach bezczynności.)

Dlaczego nie jest to domyślnie włączone?

Teraz LastPass może dość łatwo naprawić oba te problemy, wymuszając 2FA i domyślnie automatycznie blokując skarbiec. Ale minęły już lata i żadna z tych rzeczy nie została zrealizowana. Trudno powiedzieć, czy i kiedy kiedykolwiek to zrobią. Więc czas się zmienić.

1Hasło nigdy nie spowodowało naruszenia danych

Od 2011 roku LastPass był zaangażowany w pięć przypadków naruszenia bezpieczeństwa danych lub innych incydentów bezpieczeństwa — 2011, 2015, 2016, 2017 i 2019. Szczerze mówiąc, niektóre z nich nie były poważne; tylko exploity, które zostały odkryte. We wszystkich tych przypadkach LastPass wykonał godną uwagi pracę wyłączając lub łatając te luki. Uznanie zasługi jest uczciwe.

Ale jeśli wpiszesz w Google „ naruszenie danych 1password “, pierwszą opcją nie jest jakiś głośny wyciek, którego częścią było 1Password. Jest to link do bloga 1Password o tym, co by się stało, gdyby firma kiedykolwiek była częścią naruszenia, które zaczyna się od słów „1Password nigdy nie został zhakowany”. Jeśli zastanawiasz się nad zmianą, warto to przeczytać. Nawet jeśli nie rozważasz teraz zmiany, warto to przeczytać. To może zmienić zdanie.

Aplikacja na Androida jest znacznie bardziej niezawodna

Możesz przeszukiwać skarbiec 1Password bezpośrednio z okna dialogowego autouzupełniania Cam

Jednym z moich największych problemów z LastPass jest to, jak całkowicie zawodna jest opcja autouzupełniania aplikacji na Androida – nawet po wdrożeniu przez Google interfejsu API autouzupełniania, który, jak miałem nadzieję, rozwiąże te problemy. Ale nie.

Nie jestem pewien, jaki jest tutaj czynnik decydujący, ale czasami funkcja autouzupełniania działa dobrze na LastPass. Innym razem w ogóle nie podpowiada. I inne, wyświetla monit, ale mówi, że nie ma zapisanych haseł do tej aplikacji/witryny. I nie ma sposobu na wyszukiwanie bezpośrednio z monitu autouzupełniania.

Ponownie, 1Password rozwiązuje wszystkie te problemy. Po pierwsze, nie było ani razu, w którym nie zaoferowano monitu w polu hasła. A jeśli nie powiąże hasła z witryny z odpowiednią aplikacją, możesz wyszukiwać bezpośrednio z monitu i bezpośrednio tam przypisać hasło do witryny — wystarczy kilka dotknięć. Następnie powiązanie jest przechowywane, więc logowanie następnym razem będzie jeszcze łatwiejsze. LastPass nie ma czegoś takiego.

Teraz, aby być uczciwym, jeśli jesteś użytkownikiem iOS, prawdopodobnie nie doświadczyłeś żadnego z tych problemów. Opcje autouzupełniania haseł w systemie iOS wydają się działać znacznie bardziej niezawodnie niż w przypadku systemu Android, ponieważ nie napotkałem żadnych problemów z LastPass na iOS. To powiedziawszy, 1Password działa równie dobrze, więc nic nie tracisz, jeśli wykonasz skok.

Zmiana była bardziej bezbolesna niż się spodziewałem

Mam żenujące wyznanie: głównym powodem, dla którego nie zmieniłem się wcześniej, jest to, że nie chciałem poświęcać na to czasu. W mojej głowie to zajmie kilka godzin. To właściwie jest tak niepoprawne, że czuję się głupio, gdy to mówię. Zmiana trwała dosłownie pięć minut. Bez żartów — pięć.

W rzeczywistości 1Password ma doskonały przewodnik , jak to zrobić na swojej stronie wsparcia. Ostatecznie sprowadza się to do dwóch kroków: wyeksportuj skarbiec LastPass, a następnie zaimportuj go do 1Password. Z mojego doświadczenia wynika, że ​​wszystko pięknie się zsynchronizowało.

Podsumowując, 1Password został uruchomiony na trzech telefonach i czterech komputerach w około 20 minut, co obejmuje usunięcie LastPass z tych urządzeń. Czuję się śmiesznie, że tak długo czekam.

Jest jednak jeden drobny haczyk. Z jakiegoś powodu istnieją dwie wersje rozszerzenia przeglądarki 1Password — jedna wymaga zainstalowania aplikacji komputerowej, a druga nie. Polecam używać rozszerzenia 1PasswordX, które działa samodzielnie. W przeciwnym razie musisz również zainstalować aplikację komputerową, która jest po prostu trochę zbędna. Jako dodatkowy bonus, rozszerzenie 1Password ma znacznie mniejszy wpływ na zasoby systemowe niż rozszerzenie LastPass (przynajmniej w Chrome).

Ale jest też kwestia cen. Dla większości ludzi LastPass jest bezpłatny — możesz go używać na wielu urządzeniach bez płacenia ani grosza. Jeśli chcesz dodać do miksu zaszyfrowane miejsce na pliki, możesz to zrobić za 3 USD miesięcznie.

Plany 1Password.

Ale 1Password to 3 USD miesięcznie z bramki lub 5 USD miesięcznie dla całej rodziny. Znasz powiedzenie „dostajesz to, za co płacisz?” Cóż, nie sądzę, że jest to bardziej prawdziwe niż tutaj — 1Password jest bezpieczniejszy i wygodniejszy niż LastPass, co daje więcej niż 3 dolary miesięcznie.

Jeśli zastanawiasz się nad przejściem z LastPass na 1Password, bardzo to polecam. Chciałbym zrobić to lata temu.

Ujawnienie: 1Password oferuje darmowe konta dla dziennikarzy, na które przełączyłem się przed pisaniem. To w żaden sposób nie wpłynęło na ustalenia ani wynik artykułu.