本文讲的是 在线密码管理器LastPass被黑,在线密码管理器LastPass公司在上周五公布了其网络被黑事件,LastPass用户将会看到建议修改主密码的弹出框。
经过深入调查公司安全团队检测到的“可疑活动”,LastPass公司在周一发布的一篇博客帖子中透露了此次遭受攻击事件。调查并未发现有任何迹象显示攻击者盗取了用户密码库中的加密数据,LastPass用户账户也并未被侵入者染指。即便如此,攻击者依然偷取了账户电子邮件地址、密码提示信息、用户服务器salt值和身份认真散列值。
后两种信息使得攻击者有可能破解出任何弱口令的主密码,尽管LastPass公司首席执行官乔·西格里斯特说LastPass的保护措施(包括在服务器端实施了10万次PBKDF2-SHA256循环)足以“挫败任何高性能计算机对被盗散列值的破解。”
西格里斯特在对本次入侵事件的解释中说道:“我们相信我们的加密方法足以保护绝大多数用户。”
由于被黑事件,使用LastPass的用户有必要为他们的密码库更换一个新的主密码,而任何从新设备或新IP地址登录账户的用户,如果没有开启双因子身份验证的话就需要进行电子邮件身份验证。
“如果你的主密码是弱口令,或者如果你的密码在其他网站上重复使用,那请立即更新它,并更换掉其他网站上的密码。”西格里斯特说。
使用LastPass,人们可以将多个网站的密码集中存储管理,自动登录各个网站,再也不用费心记住单个密码。LastPass包含了采用复杂字符串产生强密码的工具,用户只需要记住他们的主密码就能使用这个功能。但这个服务的安全性,很显然,取决于LastPass自身不被黑客攻破。
对使用像单个正常单词这类弱密码的用户而言,马上修改密码是非常重要的,因为这类密码特别容易被破解。主密码也用于其他账户的用户则最好将其他账户的密码也一起改了。
这不是LastPass第一次被黑。2011年,这家公司就已经被攻破一次了,尽管这一次情况有所不同,LastPass立即就发现了被盗信息并加强了存储密码的方法以更好地防范黑客破解。
LastPass是当前在用的最流行的密码管理器之一,部分原因是由于这家公司免费为用户提供登录凭证和其他安全信息的保护服务。此时此刻,我们尚不清楚有多少用户受到此次黑客攻击的影响。