月光博客 » 业界动态 » 在线密码管理器LastPass被黑客攻破

在线密码管理器LastPass被黑客攻破

  摘要:LastPass的网络上周五被黑客攻破,攻击者可能窃取了用户帐号的电子邮件地址、密码提醒信息,以及用于认证的哈希信息。根据这些信息,攻击者有可能猜出较弱的用户主密码。LastPass声称,虽然加密的用户数据库在攻击中被盗走,但并没有迹象表明用户账号遭到不法分子的登入。

  据LastPass官方博客介绍,上周五LastPass的网络被黑客攻破,该公司的信息安全团队在对“可疑活动”进行调查后发现,没有任何证据表明攻击者从用户密码库中窃取了加密数据,也没有获取用户的帐户信息。

  不过,攻击者可能窃取了用户帐号的电子邮件地址、密码提醒信息,以及用于认证的哈希信息和个人Salt信息。根据这些信息,攻击者有可能猜出较弱的用户主密码。

  LastPass声称,对自己的加密措施非常有信心,它足够保护大部分的用户。LastPass的哈希认证采用随机因子以及服务器端的PBKDF2-SHA256算法进行了10万个循环,而并非在客户端执行,这使得根据被盗的哈希值进行解密的难度大为增加,也就是说,被盗走的哈希会遭到攻击,但不会那么快。但是,根据这些信息,攻击者有可能猜出较弱的用户主密码。

  对于这次安全事故,LassPass已经向所有用户发送了邮件通知,LastPass建议,该服务的所有用户都需要设置新的主密码,此外,所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件去验证身份。如果用户在其他网站里使用了和LassPass主密码相同的密码,应该也将这些密码进行修改。

在线密码管理器LastPass被黑客攻破

  由于用户的密码库并没有被盗取,因此用户没有必要修改LassPass密码库中的密码,向往常一样,LassPass强烈建议用户开启两步验证功能,为LassPass账户提供额外的保护。

  LastPass这次安全事故对于一个专门从事于安全领域的公司来说是致命一击,最具讽刺意味的是,专门从事密码保护服务却被黑客来了个一锅端,用户将自己最重要的密码保存在这个网站上,结果反而增加了安全隐患,那么用户就只能放弃这个服务,或许,将最重要的密码(例如网银和支付密码)记在脑子里,可能才是最安全的。

  相对于本地密码管理来说,LastPass的主要特点是方便,多台电脑和手机可以同步密码,用起来方便,但这也带来服务器端系统被攻击的可能性,建议使用LastPass一定要开两步认证,网银和支付密码不要放在LastPass里。

  LastPass是当前最热门的密码保管服务之一,免费为用户保存多个网站的密码,做到自动登录各个网站。

在线密码管理器LastPass被黑客攻破

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 先让我打开keepass,看一眼lastpass密码是什么。
    支持(46反对(11回复
  1. 2
    AlisterTT   说道:
    所以像1Password多机灵的,密码全存在dropbox里,被偷了也是dropbox背锅
    支持(38反对(14回复
  1. 3
    夏生阿亮   说道:
    还是用keepass 自己的东西自己保护
    支持(24反对(8回复
  1. 4
    随路飘翔   说道:
    完蛋了我也用这个
    支持(17反对(8回复
  1. 5
    Con30   说道:
    两步验证的账户就算主密码被盗,别人也很难登陆吧?
    支持(18反对(11回复
  1. 6
    崔强Android   说道:
    某些特殊密码不得不单独记(如狗屎招商证券的交易密码,随机分配且不让改,比如招行香港一卡通的交易密码,网上改不了非得去香港改),就加密存网盘里。密码管理最重要的是,能不注册的就不注册,非得注册的就用一组简单用户名密码,能用微博QQ登录的坚决不注册,非得单独注册的,只有区区十几个大网站。
    支持(20反对(13回复
  1. 7
    AwesomeIT   说道:
    在chrome上用了很多年的lastpass 不过是保存一些注册用一次后就不常用的账户
    支持(18反对(11回复
  1. If you’ve used a weak, dictionary-based master password (eg: robert1, mustang, 123456799, password1!), or if you used your master password as the password for other websites you need to update it.
    支持(21反对(15回复
  1. 9
    随风话雪   说道:
    密码放哪都不安全
    支持(17反对(11回复
  1. 10
    NO_25-XQ   说道:
    操,这么不靠谱
    支持(13反对(8回复
  1. 11
    悠闲的无名指   说道:
    没收到邮件什么情况...
    支持(17反对(12回复
  1. 12
    waterise   说道:
    起床看到这封邮件吓尿了,还好开了二次验证。不怕
    支持(18反对(13回复
  1. 13
    BakerLai   说道:
    移动端要付费,这是推广硬伤啊,界面不够友好,也是影响体验的主要问题。在自动填充自动保存方面还是不够智能,查看星号密码也缺乏较好的身份识别手段。
    支持(18反对(13回复
  1. 14
    我讨厌上火   说道:
    卧槽 我所有账户都存这上面了
    支持(15反对(11回复
  1. 15
    ARS冬瓜   说道:
    这插件是不是以前被chrome屏蔽过?
    支持(15反对(11回复
  1. 16
    longjianjiang   说道:
    我也收到了,果断改了主密码
    支持(14反对(11回复
  1. 17
    北吹   说道:
    我靠,果然变成这样了。
    支持(10反对(7回复
  1. 18
    ucanuup   说道:
    果断开了两步验证
    支持(12反对(9回复
  1. 19
    NanoNova   说道:
    支持哪些平台啊?
    支持(13反对(10回复
  1. 最重要的记在心里,很重要的记在keepass,一般般的用lastpass
    支持(12反对(10回复
  1. 21
    三山直文UIO   说道:
    加密信息并没有泄露,可能部分泄露的是电子邮件地址和密码提醒。
    支持(19反对(17回复
  1. 22
    网开一面o_0   说道:
    验证也可以绕吧
    支持(13反对(11回复
  1. 23
    四眼涂涂   说道:
    还有什么好的管理密码的吗?
    支持(12反对(11回复
  1. 24
    mask520   说道:
    我就是这么干的 有了lastpass 生活简单多了
    支持(11反对(10回复
  1. 还是1password 保持在本地靠谱。
    支持(13反对(12回复
  1. 26
    卷毛书生   说道:
    我就是这么干的,lastpass付费版用了多年,两步验证必须开。
    支持(17反对(16回复
  1. 27
    西华秦   说道:
    习惯就好,这个世界上没有什么绝对安全的
    支持(13反对(13回复
  1. 28
    彬尐尐彬   说道:
    1password呢😭😓
    支持(13反对(13回复
  1. 29
    Common_Zhang   说道:
    还是本地存放数据的1password靠谱
    支持(13反对(13回复
  1. 30
    伤心的笔   说道:
    已开启口令卡,应该管点事吧
    支持(12反对(12回复
  1. 31
    蒲涛丨Pete   说道:
    我日日日日日日,目测要杯具
    支持(10反对(11回复
  1. 32
    Wadily   说道:
    为何我没有收到邮件提示
    支持(11反对(12回复
  1. 33
    蚂蚁大官人   说道:
    我好像是听了你介绍才用的这个…
    支持(10反对(11回复
  1. 34
    Crazy隔壁老王   说道:
    日了狗了!就知道信不过!
    支持(12反对(13回复
  1. 35
    粮小灰   说道:
    不是吧?我高级版刚过期
    支持(14反对(15回复
  1. 36
    艾伦大师兄   说道:
    有什么好的密码管理app推荐?最好能加密保存图片档案。比如为我的银行卡建一个密码档案,除了能保存相关密码,还能将手机拍摄的银行卡照片一并加密关联进来。
    支持(13反对(14回复
  1. 37
    新月_Kit   说道:
    个人还是用着最笨最笨最笨的方法.首先使用某网盘..就可以多客户端同步.接着.记录密码也还是用excle或者txt..然后.再使用rar加密.密码由大小写字母+数字+符号.个人感觉这样的方法就足够了.毕竟.攻防.只是相对的.不是什么重要人员.不会有人大费周章来破解密码的....
    支持(21反对(22回复
  1. 38
    贾绍涤   说道:
    怎么有人敢用这种东西?Chrome的云密码功能现在还安全吗?
    支持(15反对(17回复
  1. 39
    喝咖啡的瓦力   说道:
    设置了两步验证,应该是安全的吧
    支持(11反对(13回复
  1. 40
    leijuly   说道:
    last pass转kee pass,本地存储文件加密,结合网盘,轻松实现跨设备密码管理。
    支持(14反对(16回复
  1. 41
    nase   说道:
    两步验证,值得拥有。
    支持(13反对(16回复
  1. 42
    WatchEdition   说道:
    彻底放弃这种密码保管方式,还是大脑靠谱
    支持(12反对(15回复
  1. 43
    WatchEdition   说道:
    用记忆记住密码才是王道
    支持(11反对(14回复
  1. 44
    rz   说道:
    跟欧美政府合作完开始帮忙洗地吧.
    支持(12反对(15回复
  1. 45
    Maske雅   说道:
    看到lastpass的时候,我就觉得这样的软件并不安全,还是坚持使用1password ,因为1password不会上传用户数据,相当于单机版,并且局域网下多个平台可互相同步。
    支持(12反对(16回复
  1. 46
    巻心菜   说道:
    无需大惊小怪,密码都是加密的,黑客拿到也解不了。
    支持(12反对(16回复
  1. 47
    江3美云   说道:
    曾经想个这个问题,综合卡饭上牛人的经验,想出了简单与安全平衡的方法。在各大游戏公司网站生成并下载动态密码图片到手机。在电脑上储存密码时,把其中的2位或多位密码转换成“动态密码”的方位。忘记密码时,就需要电脑与手机相片配合,才能正确解锁密码。
    支持(9反对(13回复
  1. 48
    时间如胸   说道:
    你好。为什么我访问williamlong.info的时候提示我IP被设置禁止访问?
    支持(7反对(11回复
  1. 49
    孟繁强Travis   说道:
    請教一下,它的加密機制和1password一樣嗎?我擔心1password也會被破解,我所有資料都在裡面呢。
    支持(7反对(12回复
  1. 50
    WatchEdition   说道:
    绿帽子,绿巨人
    支持(9反对(14回复
  1. 51
    长江1987   说道:
    重磅炸弹。如果密码库泄漏的话后果很严重
    支持(9反对(15回复
  1. 52
    jevon   说道:
    我草,,难怪上星期这么奇怪,,突然chrome插件损坏,怎么装都不行,,第二天卸载chrome了才装上,,
    支持(12反对(19回复
  1. 53
    完美星空中文网   说道:
    我还用的这玩意儿 它还靠谱么?
    支持(11反对(19回复
  1. 54
    纳户茶   说道:
    还是1password比较好 密码数据库可以自己保存在本地或者同步在选定的云服务中
    支持(9反对(17回复
  1. 55
    昆明减肥网   说道:
    LP发给我的邮件我还没有收到。这么说,LP在上传口令到服务器的时候的确是加密过的了?
    支持(8反对(17回复
  1. 56
    JoyMangano   说道:
    用了Lp好多年 呵 总不能把所有密码全换一遍吧
    支持(8反对(18回复
  1. 57
    夜清晨   说道:
    试试“可令帐号通”,国产软件,多提宝贵意见
    支持(9反对(19回复

发表留言