本文讲的是LastPass想让你把密码和二次验证码存在一块,但这真的很不安全,
密码管理器LastPass最近推出了一个新功能,支持存放二次验证码/双因素验证因子。对于黑客来说,这可能是个好消息。
近年来数据泄漏事件频发,越来越多人开始使用双因素验证,来保护个人账号不受攻击者觊觎,以及检查是否有人试图登录。
一般情况下,当你要登录某个账号时,网站会将发送一次性验证码到你的设备上(通常是手机),并要求填写验证码才能继续。
Google、Facebook、Dropbox在内的许多公司也在使用另一种方式,在设备或应用程序内生成一次性验证码。你在账号设置里打开双因素验证,使用相关应用扫描对应的二维码,以后应用就会每分钟刷新一个验证码了。每次登录输入账号密码后,再把当时那一分钟的验证码填进去,便能登录。
下边这种正是LastPass此次支持的功能。LastPass Authenticator,LastPass新出的验证码应用,支持所以基于时间的一次性密码标准(TOTP)算法的服务。它将双因素验证因子存储在LastPass账号中,可以在不同设备之间云同步。
很方便对吧?但这对用户来说可能不太妙。
如果有人盗走你的LastPass账号,LastPass Authenticator将破坏双因素验证的优势:使用不同设备做第二次验证。
使用密码管理器要好于只使用几个固定密码,因为至少你可以为每个网站设置不同的、更复杂的密码。
但它也带来了单点危机——你的所有密码都存在LastPass上,而现在还要再加上二次验证码,将使单点危机更为严重,就像往装满鸡蛋的篮子里继续添放鸡蛋一样。
在现实世界,这可能只是一个理论上的风险,只要你为LastPass账号设置了复杂密码,关键数据失窃的风险会非常小。
LastPass历史上曾经发生过两次被黑事件(官方称失窃数据是加密保护的),在最近,LastPass出现过网站故障,自身的双因素验证被曝出多个严重漏洞。
原文发布时间为:2017年5月22日
本文作者:longye
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。