LastPass致用戶：請更改你的主密碼，并立即啟用雙因素身份驗證!

作為當(dāng)前全球最熱門的密碼保管服務(wù)之一，LastPass公司周一警告稱，攻擊者攻破了運行公司密碼管理服務(wù)的設(shè)備，并盜取了用戶的受保護(hù)密碼及其他敏感的數(shù)據(jù)。這是在過去四年中該服務(wù)器第二次發(fā)生數(shù)據(jù)泄露情況。

LastPass用戶數(shù)據(jù)泄露

LastPass CEO Joe Siegrist在博客中寫道：總之，未知的攻擊者獲得了用戶哈希密碼、加密加鹽、密碼提示以及電子郵箱地址。他強調(diào)沒有證據(jù)顯示攻擊者能夠進(jìn)入存放用戶純文本密碼的地方。因為這些數(shù)據(jù)庫的主密碼受到保護(hù)，而破解需要極大的運算量。

“我們相信我們的加密措施足以保護(hù)絕大多數(shù)的用戶，LastPass對認(rèn)證哈希加強了防護(hù)，采用了隨機因子并在客戶端外的PBKDF2-SHA256服務(wù)器端實施了10萬個循環(huán)。這將顯著提高快速攻擊被盜哈希的難度。”

相比之下，很多網(wǎng)站使用的極速散列算法，只提供最低限度的保護(hù)。

這是在LastPass工作人員發(fā)現(xiàn)他們服務(wù)器日志存在網(wǎng)絡(luò)漏洞的四年后。2011年受影響的數(shù)據(jù)包括訪問哈希密碼、底層密碼加鹽以及用戶的電子郵件信息。同年，一位安全研究員發(fā)現(xiàn)了LastPass網(wǎng)站中的一個XSS漏洞，攻擊者能夠竊取用戶的敏感數(shù)據(jù)。信息存在泄露風(fēng)險，包括電子郵箱地址、密碼提示、用戶登錄的網(wǎng)站列表、時間、日期以及IP登錄地址。而LastPass對漏洞進(jìn)行了及時修復(fù)。

官方建議

LastPass建議：該服務(wù)的所有用戶都需要設(shè)置新的主密碼，而如果用戶已開啟兩步驗證功能，那么所有從新設(shè)備或新IP地址登錄帳號的用戶都需要通過電子郵件去驗證身份。如果用戶采用較弱主密碼，重置主密碼尤為重要，因為這類的密碼更容易被黑客破解。如果用戶還將這一主密碼用于其他多個網(wǎng)站的帳號，那么也應(yīng)當(dāng)在相應(yīng)網(wǎng)站上修改。

攻擊者必然重新掀起關(guān)于將密碼存在云端的爭論風(fēng)暴。即使密碼受到強大的保護(hù)，專家認(rèn)為當(dāng)它們在經(jīng)過LastPass，云仍然是一個不適合儲存的脆弱環(huán)境。

再說，終端用戶的電腦也是出了名的易攻破，因此敏感數(shù)據(jù)的安全天堂是很難真的存在的。而一項長期記錄數(shù)據(jù)顯示，使用任何密碼管理器的風(fēng)險都顯著存在的，從而加劇了密碼的困境，在特定密碼管理器中的漏洞使得攻擊者得到庫中的內(nèi)容。

專家：無需擔(dān)心

密碼專家Jeremi Gosney說：

“現(xiàn)實世界里，終端用戶的泄露風(fēng)險是最小的。LastPass中100000循環(huán)的哈希程序是他見過的最強大的。”

另一位專家Gosney寫道：

“目前攻擊者破解GPU密碼最快可以每秒猜測不到1000個哈希密碼。這是很慢的!甚至弱密碼也是在一個相當(dāng)安全的保護(hù)水平下(除非你用的是一個荒謬的弱密碼)，而這還沒有考慮可由用戶配置的客戶端數(shù)量迭代。默認(rèn)值為5000次迭代，我們至少能看到105000次迭代。而我實際上設(shè)置了65000此迭代，所以總共有165000次迭代Diceware密碼保護(hù)。所以，我絕對不會緊張。我甚至不認(rèn)為我需要變更我的主密碼。”

LastPass幫助用戶保存多個網(wǎng)站的密碼，隨后自動登錄這些網(wǎng)站，因此用戶將沒有必要再記憶多個單獨的密碼。LastPass還提供了一款工具，用于生成復(fù)雜密碼串，而用戶只需記住主密碼即可使用該服務(wù)。不過，這樣做的安全性取決于LastPass沒有被黑。