在线密码管理器LastPass遭入侵 官方建议修改主密码
LastPass致用户:请更改你的主密码,并立即启用双因素身份验证!
作为当前全球最热门的密码保管服务之一,LastPass公司周一警告称,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据。这是在过去四年中该服务器第二次发生数据泄露情况。
LastPass用户数据泄露
LastPass CEO Joe Siegrist在博客中写道:总之,未知的攻击者获得了用户哈希密码、加密加盐、密码提示以及电子邮箱地址。他强调没有证据显示攻击者能够进入存放用户纯文本密码的地方。因为这些数据库的主密码受到保护,而破解需要极大的运算量。
“我们相信我们的加密措施足以保护绝大多数的用户,LastPass对认证哈希加强了防护,采用了随机因子并在客户端外的PBKDF2-SHA256服务器端实施了10万个循环。这将显著提高快速攻击被盗哈希的难度。”
相比之下,很多网站使用的极速散列算法,只提供最低限度的保护。
这是在LastPass工作人员发现他们服务器日志存在网络漏洞的四年后。2011年受影响的数据包括访问哈希密码、底层密码加盐以及用户的电子邮件信息。同年,一位安全研究员发现了LastPass网站中的一个XSS漏洞,攻击者能够窃取用户的敏感数据。信息存在泄露风险,包括电子邮箱地址、密码提示、用户登录的网站列表、时间、日期以及IP登录地址。而LastPass对漏洞进行了及时修复。
官方建议
LastPass建议:该服务的所有用户都需要设置新的主密码,而如果用户已开启两步验证功能,那么所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件去验证身份。如果用户采用较弱主密码,重置主密码尤为重要,因为这类的密码更容易被黑客破解。如果用户还将这一主密码用于其他多个网站的帐号,那么也应当在相应网站上修改。
攻击者必然重新掀起关于将密码存在云端的争论风暴。即使密码受到强大的保护,专家认为当它们在经过LastPass,云仍然是一个不适合储存的脆弱环境。
再说,终端用户的电脑也是出了名的易攻破,因此敏感数据的安全天堂是很难真的存在的。而一项长期记录数据显示,使用任何密码管理器的风险都显著存在的,从而加剧了密码的困境,在特定密码管理器中的漏洞使得攻击者得到库中的内容。
专家:无需担心
密码专家Jeremi Gosney说:
“现实世界里,终端用户的泄露风险是最小的。LastPass中100000循环的哈希程序是他见过的最强大的。”
另一位专家Gosney写道:
“目前攻击者破解GPU密码最快可以每秒猜测不到1000个哈希密码。这是很慢的!甚至弱密码也是在一个相当安全的保护水平下(除非你用的是一个荒谬的弱密码),而这还没有考虑可由用户配置的客户端数量迭代。默认值为5000次迭代,我们至少能看到105000次迭代。而我实际上设置了65000此迭代,所以总共有165000次迭代Diceware密码保护。所以,我绝对不会紧张。我甚至不认为我需要变更我的主密码。”
LastPass帮助用户保存多个网站的密码,随后自动登录这些网站,因此用户将没有必要再记忆多个单独的密码。LastPass还提供了一款工具,用于生成复杂密码串,而用户只需记住主密码即可使用该服务。不过,这样做的安全性取决于LastPass没有被黑。
作者:明明知道
来源:51CTO
在线密码管理器LastPass遭入侵 官方建议修改主密码相关推荐
- 在线密码管理器LastPass被黑
本文讲的是 在线密码管理器LastPass被黑,在线密码管理器LastPass公司在上周五公布了其网络被黑事件,LastPass用户将会看到建议修改主密码的弹出框. 经过深入调查公司安全团队检测到的& ...
- linux用户密码管理,Linux_详解Linux中的用户密码管理命令passwd和change,passwd
修改用户密码参数
nbsp - phpStudy...
详解Linux中的用户密码管理命令passwd和change passwd 修改用户密码 参数 -k 保持未过期身份验证令牌 -l 关闭账号密码.效果相当于usermod -L,只有root才有权使用 ...
- 开源密码管理器更安全吗?(2)
密码管理器怎样保护我们的密码? 加密原理 密码学历史悠久,常用于古代军事通信. 3000年前姜子牙就发明了阴符,2000年前罗马帝国诞生了广泛使用的凯撒密码.这些都称为古典密码,通常使用替换法或者移位 ...
- 什么是密码管理器?它安全吗?
密码管理器或密钥管理员是一类用于生成.检索.保存及管理复杂密码.数字签名的措施,可以由硬件或软件实现.因此,密码管理器一般也称作密码管理软件. 复杂密码的生成一般按需要以随机算法产生,而密码数据则保存 ...
- ac管理器管理员密码忘记了_人们为什么不使用密码管理器
ac管理器管理员密码忘记了 Password managers generate secure, complex and unique passwords automatically for each ...
- 这五款热门商用密码管理器中均存在缺陷,可导致用户凭证被盗
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 英国约克大学的研究员 Michael Carr 和 Siamak F. Shahandashti从五款热门商用密码管理器 LastPa ...
- 4款好用的密码管理器,你值得拥有
上周,美国密码管理应用公司 Splash Data发布了「2018 年度最弱密码」榜单,其中123456和passworld 已经连续5年成为最弱密码榜单的冠亚军. 这些在现实世界看似毫无价值的账户密 ...
- 密码管理器(PM)安全机制和问题研究
密码管理器(PM)安全机制和问题研究 1 研究背景 随着身份认证技术的发展,除了传统的用户名/密码认证之外,动态口令认证.智能卡认证.生物特征认证也逐渐在该领域中占领一席之地,但仍然存在一些安全性问题 ...
- KeePass:强大的开源免费放心的密码管理器
一.引言 自从使用了 iPhone,就开始使用密码管理软件了.密码管理软件,顾名思义,就是只需要记住一个密码(密码管理器的密码),就可以管理自己的所有的账号密码了.并且一般的密码管理软件还会提供复杂密 ...
- 火狐浏览器锁定搜索_firefox锁定密码管理器的安全性如何
火狐浏览器锁定搜索 After hearing that LastPass was acquired by a private equity firm[1], I decided it might b ...
最新文章
- magento 多语言 ,后台手工更改方法
- C#取整函数Math.Round、Math.Ceiling和Math.Floor
- 001_jQuery简介
- go interface转int_32. 一篇文章理解 Go 里的函数
- jquery 判断手势滑动方向(上下左右)
- mysql大数据分库和分表 php解决方案
- 若川的2018年度总结,平淡无奇
- c语言i++和++i程序_使用C ++程序从链接列表中消除重复项
- vba校对统计不同工作薄(2)
- html模态窗口调试,在模态窗口中显示HTML标记
- 神秘七年、融资23亿美元,Magic Leap终于发售首款产品,被吐槽full of shit
- QuickLook 空格键预览文件工具
- 二种清空数据库的好方法
- Oracle 中运用rollup和cube实现汇总运算
- lsof 功能使用详解
- 分享12306秒票杀手锏源码
- CCC认证有没有2019年新的具体的收费标准
- 三种非递归遍历二叉树的方法
- 夏普科学计算机标准差,夏普比率-标准差-贝他系数
- win10删除右键菜单多余项
热门文章
- 从内存模型角度说明volatile与synchronized在并发特性方面的区别
- seata xid是什么_Spring Cloud Alibaba分布式事务解决框架Seata概念入门篇
- python的符号lt和gt怎么输入_lt;lt;Python基础教程gt;gt;学习笔记 | 第04章 | 字典...
- gwas snp 和_Science | 群体研究新思路:De novo + GWAS
- 算法笔记:tarjan算法求强连通分量割点桥
- 快速突破面试算法之字符串表篇
- java注释符_Java程序中的单行注释符是( ),多行注释符是( )。
- mysql内容_mysql 的基本内容
- Linux安装mysql5.7.35
- 全局配置_再次强调:必须站在全局的角度去考虑客厅的内机配置