LastPass의 유출이 점점 심각해짐
(old.reddit.com)- 새로 공지를 하지 않고, 기존 공지를 업데이트 해서 잘 보이지 않음
- 유출이 LastPass 뿐만이 아니라 관계사인 GoTo 도 포함됨 (둘이 같은 써드파티 클라우드 스토리지 서비스를 공유해서 사용)
- Lastpass는 LogMeIn에서 인수했다가 별도 회사로 분사한 것이고, 그후 LogMeIn이 GoTo로 리브랜딩함
- 최근 공격으로 GoTo의 원격지원 및 관리도구 제품들인 Central, Pro, Join.me, Hamachi, RemotelyAnywhere 등의 암호화된 백업이 유출
- 또한 암호화된 백업의 일부에 대한 암호화 키도 유출
- 사용자 이름, Salted & Hashed 암호, MFA 설정의 일부, 제품 설정 및, 라이센스 정보 등을 포함
- Rescue / GoToMyPC의 암호화된 DB는 유출 안되었지만, 일부 고객의 MFA 설정이 영향 받음
1Password로 옮긴지는 몇 년 됐는데, 지금 보니 LastPass 계정 삭제를 안 했네요. 만약 털렸다면 과거에 사용하던 계정들은 다 털렸을 수도 있겠군요;
지금이라도 탈퇴해야겠습니다.
저는 구글 비밀번호 관리자만 사용하다가, Bitwarden Self Host로 넘어왔는데...
직접 구축하든 제공하는 클라우드를 쓰든 비용 측면에서는 Bitwarden이 압승입니다. 직접 구축은 자원을 별로 안 먹는 프로그램이라 개인 서버가 있으시다면 무료나 다름없고, 클라우드를 써도 1년에 단 10달러라는 게 말이 안 됩니다. 오픈 소스라 기분도 좋고요.
하지만 비용에 여유가 된다면 1password가 편의성 측면에서 더 좋다고 생각됩니다. 구글 비밀번호처럼 로그인 폼 밑에 드롭다운으로 계정 선택할 수 있는 기능이 있고 없고 편의성 차이가 큰 것 같아요. (bitwarden은 이런 편의 기능 없습니다...) 앱들도 더 잘 동작하고, 전반적인 UI도 훨씬 깔끔하고요.
결국 비용에 따라 결정하시면 좋을 것 같네요.
비밀번호 관리자 이것저것 유료사용해본 경험자입니다. bitwarden으로 시작하는 것을 추천합니다. Enpass (구 평생이용권 구매자)에서 완벽하게 못넘어왔는데 플랜 장난에 지금시작하는 사람이 쓰기에는 비추합니다. 둘 다 설치해두고 필요한 부분만 새로 저장하는 식으로 사용 중이지만요. Bitwarden은 오픈소스이고 안드로이드폰에서 잘 반응하여 빠른 사용가능합니다. (갤럭시기준 잘 안되는 앱들이 있음)
편의성은 1Password가 압승입니다. 브라우저 확장도 편리하고, bitwarden은 폼에 오직 텍스트만 저장 가능합니다.
다만 1Pasword7까지는 기존 구매자의 icloud 저장소를 이용해서 기존 구매자들이 무료로 쓸 수 있었는데 8부터는 무조건 계정 요구해서 괴씸해서 bitwarden으로 넘어왔습니다. 좀 투박해도 기능에는 문제 없으니깐요
기능과 세부적인 편의성은 원패스워드가 더 낫습니다. 가격만 부담스럽지 않다면요. 두 제품의 기술적 안정성은 간략히 이정도라고 생각하면 될 듯 합니다.
https://planet.moe/@spekt8or/109747076133955308
댓글에도 있지만, 이번 LastPass 유출의 문제는..
사고 범위가 너무 커서 그런지 고객에게 위험한지 아닌지 상태 조차도 제대로 알리지도 않는다는 것이라네요.