6月16日,Lastpass官方周一發出警告稱,黑客攻破了該公司運行密碼管理服務的服務器。這是Lastpass在四年內的第二次發出這樣的警告。
該公司CEO喬·西格里斯特(Joe Siegrist)在Lastpass網站發文稱,這些身份不明的攻擊者竊取了經過哈希加密的用戶密碼、加密鹽、密碼提醒和郵箱地址。不過,他強調沒有證據證明攻擊者能夠打開加密鎖定的用于儲存明文密碼的用戶信息保險庫,因為解開保險庫的主密碼受極其緩慢的哈希機制保。
西格里斯特說:“我們確信,我們的加密措施足以保障絕大多數用戶的信息不泄露。Lastpass使用了隨機鹽和其他加密方式加強了認證哈希。黑客很難在短時間內解開密碼。”
不過,為了預防萬一,Lastpass還是建議,該服務的所有用戶都需要設置新的主密碼,而如果用戶已開啟兩步驗證功能,那么所有從新設備或新IP地址登錄帳號的用戶都需要通過電子郵件驗證身份。
如果用戶采用較弱主密碼,重置主密碼尤為重要,因為這類的密碼更容易被黑客破解。如果用戶還將這一主密碼用于其他多個網站的帳號,那么也應當在相應網站上修改。
這并不是LastPass首次遭到黑客攻擊。2011年,該公司也曾遭到過一次攻擊,不過當時的情況有所不同。LastPass知道有哪些信息丟失,隨后加強了密碼安全技術。
LastPass幫助用戶將網站的密碼賬戶保存到個人賬號上,隨后自動登錄這些網站,因此用戶可以不用記憶多個單獨的賬號和密碼。LastPass還提供了密碼生成工具,用于生成復雜密碼串,而用戶只需記住主密碼即可使用該服務。不過,這樣做的安全性取決于LastPass的保護措施是否能夠被黑客破解。
LastPass是當前最熱門的密碼保管服務之一,這主要是由于該公司的服務免費。
京公網安備 11010502049343號