!!!密码管理器LastPass网络遭受黑客入侵:开发者建议用户主密码全部更改

密码管理者LastPass的开发人员承认，他们的网络基础设施遭遇了黑客攻击，并建议全部用户更换他们的主密码，并关闭多因素认证。

首席执行官及创始人Joe Siegrist写道，专家们于上周五发现了LastPass网络上的可疑活动，来自自定义数据库的加密数据没有被盗，用户账户也保持完好。然而，攻击者攻击了用户邮件地址的数据库、密码提醒、用户“盐”以及认证序列。

这是在LastPass开发人员发现他们服务器日志存在网络漏洞之后四年内发生的第二起安全事故。2011年受影响的数据包括访问哈希密码、基础“盐”密码，以及用户电子邮件信息。也是在这一年，一位安全研究员发现了LastPass网站中的一个XSS漏洞，使攻击者能够窃取用户的敏感数据。包括电子邮箱地址、密码提示、用户登录的网站列表、时间、日期以及IP登录地址在内的信息均暴露在高度危险中。LastPass及时修补了该漏洞。

Siegrist表示：“我们确信，我们所采取的加密数据的方法足以保护大多数用户。”

而随机数据，例如添加到密码中的“盐”数据，则是散列密码。原理是这样的，当你使用太多的“盐”密码时，数据库在成倍的增长。相比之下，很多网站使用的极速散列算法，只提供最低限度的保护。

“目前攻击者破解GPU密码最快可以每秒猜测不到1000个哈希密码。这是一个很慢的速度了。即使是安全力度很差的密码，其实也是处于一个相对安全的保护水平下(除非你用的是一个差的离谱的密码)，而这还没有考虑到可由用户配置的客户端数量迭代。默认值为5000次迭代，我们至少能看到105000次迭代。而实际上设置了65000次迭代，所以总共有165000次迭代Diceware密码保护。因此，我并不会因此感到不安。我甚至认为，不需要更改我的主密码。” 密码专家Jeremi Gosney说。

尽管如此，LastPass官方建议：使用该服务的所有用户都需要设置新的主密码，而如果用户已开启两步验证功能，那么所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件去验证身份。如果用户采用的是安全等级较差的主密码，就更应该重置主密码，因为这类的密码更容易被黑客破解。如果用户同时将一组主密码用于其他多个网站的帐号，那么也应当在相应网站上修改。

在线密码管理器LastPass致力于帮助用户保存多个网站的密码，以便能够自动登录这些网站，因此用户将没有必要再记忆多个单独的密码。LastPass还提供了一款工具，用于生成复杂密码串，而用户只需记住主密码即可使用该服务。不过，这样做的安全性前提是，LastPass这个网站没有遭到攻击。

密码管理者LastPass的开发人员承认，他们的网络基础设施遭遇了黑客攻击，并建议全部用户更换他们的主密码，并关闭多因素认证。

Siegrist表示：“我们确信，我们所采取的加密数据的方法足以保护大多数用户。”

!!!密码管理器LastPass网络遭受黑客入侵:开发者建议用户主密码全部更改

相关文章