青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 关于传统企业电商发展的一些想法浅析Apache Storm 0.10.0-beta发布:剑指Heron »

在线密码管理器LastPass被黑客攻破

  摘要:LastPass的网络上周五被黑客攻破,攻击者可能窃取了用户帐号的电子邮件地址、密码提醒信息,以及用于认证的哈希信息。根据这些信息,攻击者有可能猜出较弱的用户主密码。LastPass声称,虽然加密的用户数据库在攻击中被盗走,但并没有迹象表明用户账号遭到不法分子的登入。

  据LastPass官方博客介绍,上周五LastPass的网络被黑客攻破,该公司的信息安全团队在对“可疑活动”进行调查后发现,没有任何证据表明攻击者从用户密码库中窃取了加密数据,也没有获取用户的帐户信息。

  不过,攻击者可能窃取了用户帐号的电子邮件地址、密码提醒信息,以及用于认证的哈希信息和个人Salt信息。根据这些信息,攻击者有可能猜出较弱的用户主密码。

  LastPass声称,对自己的加密措施非常有信心,它足够保护大部分的用户。LastPass的哈希认证采用随机因子以及服务器端的PBKDF2-SHA256算法进行了10万个循环,而并非在客户端执行,这使得根据被盗的哈希值进行解密的难度大为增加,也就是说,被盗走的哈希会遭到攻击,但不会那么快。但是,根据这些信息,攻击者有可能猜出较弱的用户主密码。

  对于这次安全事故,LassPass已经向所有用户发送了邮件通知,LastPass建议,该服务的所有用户都需要设置新的主密码,此外,所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件去验证身份。如果用户在其他网站里使用了和LassPass主密码相同的密码,应该也将这些密码进行修改。

在线密码管理器LastPass被黑客攻破

  由于用户的密码库并没有被盗取,因此用户没有必要修改LassPass密码库中的密码,向往常一样,LassPass强烈建议用户开启两步验证功能,为LassPass账户提供额外的保护。

  LastPass这次安全事故对于一个专门从事于安全领域的公司来说是致命一击,最具讽刺意味的是,专门从事密码保护服务却被黑客来了个一锅端,用户将自己最重要的密码保存在这个网站上,结果反而增加了安全隐患,那么用户就只能放弃这个服务,或许,将最重要的密码(例如网银和支付密码)记在脑子里,可能才是最安全的。

  相对于本地密码管理来说,LastPass的主要特点是方便,多台电脑和手机可以同步密码,用起来方便,但这也带来服务器端系统被攻击的可能性,建议使用LastPass一定要开两步认证,网银和支付密码不要放在LastPass里。

  LastPass是当前最热门的密码保管服务之一,免费为用户保存多个网站的密码,做到自动登录各个网站。

在线密码管理器LastPass被黑客攻破



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/4267.html
  • 文章排行:
  • 1.以我多年经验应该没问题
  • 先让我打开keepass,看一眼lastpass密码是什么。
  • 2015/6/16 15:26:44   支持(41)反对(11) 回复
  • 2.AlisterTT
  • 所以像1Password多机灵的,密码全存在dropbox里,被偷了也是dropbox背锅
  • 2015/6/16 16:08:46   支持(38)反对(14) 回复
  • 3.夏生阿亮
  • 还是用keepass 自己的东西自己保护
  • 2015/6/16 15:15:24   支持(22)反对(8) 回复
  • 5.AwesomeIT
  • 在chrome上用了很多年的lastpass 不过是保存一些注册用一次后就不常用的账户
  • 2015/6/17 8:54:17   支持(18)反对(11) 回复
  • 6.悠闲的无名指
  • 没收到邮件什么情况...
  • 2015/6/16 15:44:44   支持(17)反对(11) 回复
  • 8.崔强Android
  • 某些特殊密码不得不单独记(如狗屎招商证券的交易密码,随机分配且不让改,比如招行香港一卡通的交易密码,网上改不了非得去香港改),就加密存网盘里。密码管理最重要的是,能不注册的就不注册,非得注册的就用一组简单用户名密码,能用微博QQ登录的坚决不注册,非得单独注册的,只有区区十几个大网站。
  • 2015/6/17 8:31:16   支持(19)反对(13) 回复
  • 9.BakerLai
  • 移动端要付费,这是推广硬伤啊,界面不够友好,也是影响体验的主要问题。在自动填充自动保存方面还是不够智能,查看星号密码也缺乏较好的身份识别手段。
  • 2015/6/17 9:20:18   支持(18)反对(12) 回复
  • 11.ARS冬瓜
  • 这插件是不是以前被chrome屏蔽过?
  • 2015/6/16 16:05:46   支持(15)反对(10) 回复
  • 12.我讨厌上火
  • 卧槽 我所有账户都存这上面了
  • 2015/6/16 15:15:20   支持(15)反对(11) 回复
  • 13.你这个叛徒你才是叛徒
  • If you’ve used a weak, dictionary-based master password (eg: robert1, mustang, 123456799, password1!), or if you used your master password as the password for other websites you need to update it.
  • 2015/6/16 15:47:45   支持(19)反对(15) 回复
  • 14.waterise
  • 起床看到这封邮件吓尿了,还好开了二次验证。不怕
  • 2015/6/16 16:13:46   支持(17)反对(13) 回复
  • 15.Con30
  • 两步验证的账户就算主密码被盗,别人也很难登陆吧?
  • 2015/6/16 16:29:47   支持(15)反对(11) 回复
  • 16.新月_Kit
  • 个人还是用着最笨最笨最笨的方法.首先使用某网盘..就可以多客户端同步.接着.记录密码也还是用excle或者txt..然后.再使用rar加密.密码由大小写字母+数字+符号.个人感觉这样的方法就足够了.毕竟.攻防.只是相对的.不是什么重要人员.不会有人大费周章来破解密码的....
  • 2015/6/17 8:07:15   支持(21)反对(17) 回复
  • 17.longjianjiang
  • 我也收到了,果断改了主密码
  • 2015/6/16 15:37:44   支持(14)反对(11) 回复
  • 22.相似性之间的相似性
  • 最重要的记在心里,很重要的记在keepass,一般般的用lastpass
  • 2015/6/16 15:51:45   支持(12)反对(10) 回复
  • 23.三山直文UIO
  • 加密信息并没有泄露,可能部分泄露的是电子邮件地址和密码提醒。
  • 2015/6/16 17:45:50   支持(19)反对(17) 回复
  • 24.四眼涂涂
  • 还有什么好的管理密码的吗?
  • 2015/6/16 16:56:48   支持(12)反对(11) 回复
  • 25.贾绍涤
  • 怎么有人敢用这种东西?Chrome的云密码功能现在还安全吗?
  • 2015/6/16 17:13:49   支持(15)反对(14) 回复
  • 26.用户名不存在无法显示
  • 还是1password 保持在本地靠谱。
  • 2015/6/17 8:50:17   支持(13)反对(12) 回复
  • 27.Common_Zhang
  • 还是本地存放数据的1password靠谱
  • 2015/6/17 8:59:17   支持(13)反对(12) 回复
  • 29.mask520
  • 我就是这么干的 有了lastpass 生活简单多了
  • 2015/6/17 8:44:17   支持(10)反对(10) 回复
  • 30.卷毛书生
  • 我就是这么干的,lastpass付费版用了多年,两步验证必须开。
  • 2015/6/17 9:02:17   支持(16)反对(16) 回复
  • 31.伤心的笔
  • 已开启口令卡,应该管点事吧
  • 2015/6/22 11:13:35   支持(12)反对(12) 回复
  • 32.蒲涛丨Pete
  • 我日日日日日日,目测要杯具
  • 2015/6/16 15:23:44   支持(10)反对(11) 回复
  • 34.蚂蚁大官人
  • 我好像是听了你介绍才用的这个…
  • 2015/6/16 16:22:47   支持(10)反对(11) 回复
  • 35.Crazy隔壁老王
  • 日了狗了!就知道信不过!
  • 2015/6/16 16:47:48   支持(12)反对(13) 回复
  • 37.艾伦大师兄
  • 有什么好的密码管理app推荐?最好能加密保存图片档案。比如为我的银行卡建一个密码档案,除了能保存相关密码,还能将手机拍摄的银行卡照片一并加密关联进来。
  • 2015/6/17 8:00:15   支持(13)反对(14) 回复
  • 38.西华秦
  • 习惯就好,这个世界上没有什么绝对安全的
  • 2015/6/16 15:07:18   支持(11)反对(13) 回复
  • 39.喝咖啡的瓦力
  • 设置了两步验证,应该是安全的吧
  • 2015/6/16 17:34:50   支持(11)反对(13) 回复
  • 40.WatchEdition
  • 彻底放弃这种密码保管方式,还是大脑靠谱
  • 2015/6/17 8:11:15   支持(12)反对(14) 回复
  • 42.leijuly
  • last pass转kee pass,本地存储文件加密,结合网盘,轻松实现跨设备密码管理。
  • 2015/6/17 9:13:18   支持(13)反对(16) 回复
  • 43.rz
  • 跟欧美政府合作完开始帮忙洗地吧.
  • 2015/6/19 14:19:00   支持(12)反对(15) 回复
  • 44.Maske雅
  • 看到lastpass的时候,我就觉得这样的软件并不安全,还是坚持使用1password ,因为1password不会上传用户数据,相当于单机版,并且局域网下多个平台可互相同步。
  • 2015/6/16 16:18:46   支持(12)反对(16) 回复
  • 45.巻心菜
  • 无需大惊小怪,密码都是加密的,黑客拿到也解不了。
  • 2015/6/16 16:35:47   支持(12)反对(16) 回复
  • 46.江3美云
  • 曾经想个这个问题,综合卡饭上牛人的经验,想出了简单与安全平衡的方法。在各大游戏公司网站生成并下载动态密码图片到手机。在电脑上储存密码时,把其中的2位或多位密码转换成“动态密码”的方位。忘记密码时,就需要电脑与手机相片配合,才能正确解锁密码。
  • 2015/6/16 17:31:50   支持(9)反对(13) 回复
  • 47.WatchEdition
  • 用记忆记住密码才是王道
  • 2015/6/17 8:14:15   支持(10)反对(14) 回复
  • 48.时间如胸
  • 你好。为什么我访问williamlong.info的时候提示我IP被设置禁止访问?
  • 2015/6/17 9:09:18   支持(7)反对(11) 回复
  • 49.孟繁强Travis
  • 請教一下,它的加密機制和1password一樣嗎?我擔心1password也會被破解,我所有資料都在裡面呢。
  • 2015/6/16 17:02:48   支持(7)反对(12) 回复
  • 51.长江1987
  • 重磅炸弹。如果密码库泄漏的话后果很严重
  • 2015/6/16 15:16:42   支持(9)反对(15) 回复
  • 52.jevon
  • 我草,,难怪上星期这么奇怪,,突然chrome插件损坏,怎么装都不行,,第二天卸载chrome了才装上,,
  • 2015/6/19 20:22:29   支持(12)反对(19) 回复
  • 53.完美星空中文网
  • 我还用的这玩意儿 它还靠谱么?
  • 2015/6/16 15:15:09   支持(11)反对(19) 回复
  • 54.纳户茶
  • 还是1password比较好 密码数据库可以自己保存在本地或者同步在选定的云服务中
  • 2015/6/16 15:58:45   支持(9)反对(17) 回复
  • 55.夜清晨
  • 试试“可令帐号通”,国产软件,多提宝贵意见
  • 2015/6/18 8:06:06   支持(9)反对(17) 回复
  • 56.昆明减肥网
  • LP发给我的邮件我还没有收到。这么说,LP在上传口令到服务器的时候的确是加密过的了?
  • 2015/6/16 15:15:32   支持(8)反对(17) 回复
  • 57.JoyMangano
  • 用了Lp好多年 呵 总不能把所有密码全换一遍吧
  • 2015/6/16 15:32:44   支持(8)反对(18) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

相关文章

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.