Я перешел с LastPass на 1Password (и вы тоже должны)

Апельсины

Я использую LastPass в качестве основного менеджера паролей уже много лет — если бы мне пришлось угадывать, я бы сказал, что ему уже около 10 лет. И за эти годы он подводил меня, разочаровывал и разочаровывал меня несколько раз. Несколько недель назад я наконец перешел на 1Password. Я должен был сделать это давным-давно.

Чтобы было ясно, в LastPass нет ничего явно плохого — по крайней мере, так я говорил себе на протяжении нескольких лет. Конечно, приложение Android не всегда автоматически заполняет параметры, а расширение Chrome остается в системе буквально все время. Приложение также пострадало от нескольких утечек данных за эти годы. Но это все в порядке вещей, верно?

Даже не близко.

Честно говоря, я не осознавал, насколько плохой менеджер паролей LastPass, пока не использовал 1Password. Проблемы с автозаполнением Android — это одно, в лучшем случае незначительное раздражение, но плохая реализация безопасности для приложения, которое должно хранить часть вашей самой личной информации, совершенно непростительно.

Протоколы безопасности LastPass жалки

Если у вас есть учетная запись LastPass, вы уже знаете, как это работает: вы устанавливаете приложение или заходите на веб-сайт и входите в систему. Возможно, в вашей учетной записи также включена двухфакторная аутентификация — это хорошо для вас. Но это необязательно, и если вы еще не знаете, что LastPass предлагает двухфакторную аутентификацию, то почти наверняка она у вас не включена. (В конце концов, как вы могли включить то, о чем не знали?)

А если вы установите расширение Chrome, вам нужно будет войти в систему только один раз. После этого, пока компьютер остается в сети, вас больше никогда не попросят войти в систему. В этот момент любой, кто имеет доступ к вашему компьютеру, также имеет доступ к вашим паролям. Это катастрофа, которая только и ждет, чтобы случиться. Вы можете изменить это поведение в настройках расширения LastPass, но просто сбивает с толку то, что автоблокировка не включена по умолчанию. Вам не нужно выбирать лучшую безопасность, особенно в менеджере паролей.

Но 1Password делает все по-другому. Во-первых, он не просто включает двухфакторную аутентификацию «из коробки», но устанавливает «секретный ключ» при создании учетной записи. Это очень сложный ключ, который требуется каждый раз, когда вы входите в систему на новом устройстве (примечание: только при первом входе в систему — после подтверждения устройства вы можете войти в систему, используя только свое имя пользователя и пароль. Ключ автоматически генерируется и передается вам в документе при регистрации в 1Password. Этот ключ также хранится на доверенных устройствах, поэтому их легко сохранить, но трудно потерять.

Это большой уровень безопасности для всех ваших паролей. Знаете, что еще делает 1Password, чего нет в LastPass? Автоматическая блокировка хранилища в расширении Chrome по умолчанию. И 1Password, и LastPass блокируют хранилище после определенного периода бездействия на мобильных устройствах, но это не относится к расширениям браузера. Это сбивает с толку. (Если вы используете LastPass и не хотите переключаться, включите эту функцию «Параметры учетной записи» > «Настройки расширений» > «Выйти» после стольких минут бездействия.)

Почему это не включено по умолчанию?

Теперь LastPass может довольно легко решить обе эти проблемы, принудительно активировав 2FA и автоматически заблокировав хранилище по умолчанию. Но прошли годы, и ни одна из этих вещей не была сделана. Трудно сказать, будут ли они когда-нибудь. Итак, пора переключаться.

1Password никогда не сталкивался с утечкой данных

С 2011 года LastPass был замешан в пяти утечках данных или других инцидентах безопасности — в 2011, 2015, 2016, 2017 и 2019 годах. Честно говоря, некоторые из них не были серьезными; просто эксплойты, которые были обнаружены. И во всех этих случаях LastPass проделал заметную работу по отключению или исправлению этих уязвимостей. Справедливо отдать должное там, где это необходимо.

Но если вы погуглите «нарушение данных 1password », первый вариант — это не какая-то громкая утечка, частью которой был 1Password. Это ссылка на блог 1Password о том , что произойдет, если компания когда-либо станет частью взлома, который начинается со слов «1Password никогда не был взломан». Если вы подумываете о переключении, это стоит прочитать. Даже если вы не думаете о переходе прямо сейчас, это стоит прочитать. Это может изменить ваше мнение.

Приложение для Android намного надежнее

Вы можете выполнить поиск в хранилище 1Password прямо из диалогового окна автозаполнения Cam.

Одна из моих самых больших проблем с LastPass заключается в том, насколько ненадежной была опция автозаполнения в приложении Android — даже после того, как Google реализовал API автозаполнения, который, как я надеялся, решит эти проблемы. Но нет.

Я не уверен, что здесь является определяющим фактором, но иногда функция автозаполнения отлично работает на LastPass. В других случаях это никогда не подсказывает вообще. И другие, он запрашивает, но говорит, что для этого приложения/сайта нет сохраненных паролей. И нет возможности искать прямо из подсказки автозаполнения.

Опять же, 1Password решает все эти проблемы. Во-первых, не было ни одного случая, чтобы он не предлагал подсказку в поле пароля. А в случае, когда он не связывает пароль от сайта с соответствующим приложением, вы можете выполнить поиск прямо из подсказки и тут же назначить пароль сайту — это займет всего несколько нажатий. После этого ассоциация сохраняется, поэтому авторизоваться в следующий раз будет еще проще. В LastPass ничего подобного нет.

Теперь, чтобы быть справедливым, если вы пользователь iOS, вы, вероятно, не сталкивались ни с одной из этих проблем. Параметры автозаполнения пароля для iOS работают намного надежнее, чем для Android, так как у меня не было проблем с LastPass на iOS. Тем не менее, 1Password работает так же хорошо, так что вы ничего не потеряете, если совершите скачок.

Переключение было более безболезненным, чем я ожидал

У меня есть смущающее признание: главная причина, по которой я не переключился раньше, заключается в том, что я не хотел тратить на это время. В моей голове это должно было занять несколько часов. На самом деле это настолько неправильно, что я чувствую себя глупо, просто говоря это. Переключение буквально заняло минут пять. Без шуток — пять.

На самом деле, у 1Password есть отличное руководство по этому вопросу на сайте поддержки. В конечном итоге все сводится к двум шагам: экспортируйте хранилище LastPass, а затем импортируйте его в 1Password. По моему опыту, все прекрасно синхронизировалось.

В общем, я установил и запустил 1Password на трех телефонах и четырех компьютерах примерно за 20 минут, включая удаление LastPass с этих устройств. Мне смешно ждать так долго.

Однако есть одна небольшая загвоздка. По какой-то причине существует две версии браузерного расширения 1Password: одна требует установки настольного приложения, а другая — нет. Я рекомендую использовать расширение 1PasswordX, которое работает само по себе. В противном случае вам также потребуется установить настольное приложение, которое, честно говоря, просто избыточно. В качестве дополнительного бонуса расширение 1Password оказывает гораздо меньшее влияние на системные ресурсы, чем расширение LastPass (по крайней мере, в Chrome).

Но есть еще вопрос ценообразования. Для большинства людей LastPass бесплатен — вы можете использовать его на нескольких устройствах, не платя ни копейки. Если вы хотите добавить к этому зашифрованное хранилище файлов, вы можете сделать это за 3 доллара в месяц.

Планы 1Password.

Но 1Password стоит 3 доллара в месяц или 5 долларов в месяц для всей вашей семьи. Вы знаете поговорку «Вы получаете то, за что платите?» Что ж, я не думаю, что это более верно, чем здесь: 1Password более безопасен и удобен, чем LastPass, который более чем стоит 3 доллара в месяц.

Если вы рассматривали возможность перехода с LastPass на 1Password, я настоятельно рекомендую это сделать. Хотел бы я сделать это много лет назад.

Раскрытие информации: 1Password предлагает бесплатные аккаунты для журналистов, на которые я перешел перед написанием. Это никоим образом не повлияло на выводы или исход статьи.