在線密碼管理器LastPass被黑客攻破

LastPass的網(wǎng)絡(luò)上周五被黑客攻破，攻擊者可能竊取了用戶帳號(hào)的電子郵件地址、密碼提醒信息，以及用于認(rèn)證的哈希信息。根據(jù)這些信息，攻擊者有可能猜出較弱的用戶主密碼。LastPass聲稱，雖然加密的用戶數(shù)據(jù)庫(kù)在攻擊中被盜走，但并沒有跡象表明用戶賬號(hào)遭到不法分子的登入。

據(jù)LastPass官方博客介紹，上周五LastPass的網(wǎng)絡(luò)被黑客攻破，該公司的信息安全團(tuán)隊(duì)在對(duì)“可疑活動(dòng)”進(jìn)行調(diào)查后發(fā)現(xiàn)，沒有任何證據(jù)表明攻擊者從用戶密碼庫(kù)中竊取了加密數(shù)據(jù)，也沒有獲取用戶的帳戶信息。

不過，攻擊者可能竊取了用戶帳號(hào)的電子郵件地址、密碼提醒信息，以及用于認(rèn)證的哈希信息和個(gè)人Salt信息。根據(jù)這些信息，攻擊者有可能猜出較弱的用戶主密碼。

LastPass聲稱，對(duì)自己的加密措施非常有信心，它足夠保護(hù)大部分的用戶。LastPass的哈希認(rèn)證采用隨機(jī)因子以及服務(wù)器端的PBKDF2-SHA256算法進(jìn)行了10萬個(gè)循環(huán)，而并非在客戶端執(zhí)行，這使得根據(jù)被盜的哈希值進(jìn)行解密的難度大為增加，也就是說，被盜走的哈希會(huì)遭到攻擊，但不會(huì)那么快。但是，根據(jù)這些信息，攻擊者有可能猜出較弱的用戶主密碼。

對(duì)于這次安全事故，LassPass已經(jīng)向所有用戶發(fā)送了郵件通知，LastPass建議，該服務(wù)的所有用戶都需要設(shè)置新的主密碼，此外，所有從新設(shè)備或新IP地址登錄帳號(hào)的用戶都需要通過電子郵件去驗(yàn)證身份。如果用戶在其他網(wǎng)站里使用了和LassPass主密碼相同的密碼，應(yīng)該也將這些密碼進(jìn)行修改。

由于用戶的密碼庫(kù)并沒有被盜取，因此用戶沒有必要修改LassPass密碼庫(kù)中的密碼，向往常一樣，LassPass強(qiáng)烈建議用戶開啟兩步驗(yàn)證功能，為L(zhǎng)assPass賬戶提供額外的保護(hù)。

LastPass這次安全事故對(duì)于一個(gè)專門從事于安全領(lǐng)域的公司來說是致命一擊，最具諷刺意味的是，專門從事密碼保護(hù)服務(wù)卻被黑客來了個(gè)一鍋端，用戶將自己最重要的密碼保存在這個(gè)網(wǎng)站上，結(jié)果反而增加了安全隱患，那么用戶就只能放棄這個(gè)服務(wù)，或許，將最重要的密碼（例如網(wǎng)銀和支付密碼）記在腦子里，可能才是最安全的。

相對(duì)于本地密碼管理來說，LastPass的主要特點(diǎn)是方便，多臺(tái)電腦和手機(jī)可以同步密碼，用起來方便，但這也帶來服務(wù)器端系統(tǒng)被攻擊的可能性，建議使用LastPass一定要開兩步認(rèn)證，網(wǎng)銀和支付密碼不要放在LastPass里。

LastPass是當(dāng)前最熱門的密碼保管服務(wù)之一，免費(fèi)為用戶保存多個(gè)網(wǎng)站的密碼，做到自動(dòng)登錄各個(gè)網(wǎng)站。