LastPass致用户:请更改你的主密码,并立即启用双因素身份验证!

作为当前全球最热门的密码保管服务之一,LastPass公司周一警告称,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据。这是在过去四年中该服务器第二次发生数据泄露情况。

LastPass用户数据泄露

LastPass CEO Joe Siegrist在博客中写道:总之,未知的攻击者获得了用户哈希密码、加密加盐、密码提示以及电子邮箱地址。他强调没有证据显示攻击者能够进入存放用户纯文本密码的地方。因为这些数据库的主密码受到保护,而破解需要极大的运算量。

“我们相信我们的加密措施足以保护绝大多数的用户,LastPass对认证哈希加强了防护,采用了随机因子并在客户端外的PBKDF2-SHA256服务器端实施了10万个循环。这将显著提高快速攻击被盗哈希的难度。”

相比之下,很多网站使用的极速散列算法,只提供最低限度的保护。

这是在LastPass工作人员发现他们服务器日志存在网络漏洞的四年后。2011年受影响的数据包括访问哈希密码、底层密码加盐以及用户的电子邮件信息。同年,一位安全研究员发现了LastPass网站中的一个XSS漏洞,攻击者能够窃取用户的敏感数据。信息存在泄露风险,包括电子邮箱地址、密码提示、用户登录的网站列表、时间、日期以及IP登录地址。而LastPass对漏洞进行了及时修复。

官方建议

LastPass建议:该服务的所有用户都需要设置新的主密码,而如果用户已开启两步验证功能,那么所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件去验证身份。如果用户采用较弱主密码,重置主密码尤为重要,因为这类的密码更容易被黑客破解。如果用户还将这一主密码用于其他多个网站的帐号,那么也应当在相应网站上修改。

攻击者必然重新掀起关于将密码存在云端的争论风暴。即使密码受到强大的保护,专家认为当它们在经过LastPass,云仍然是一个不适合储存的脆弱环境。

再说,终端用户的电脑也是出了名的易攻破,因此敏感数据的安全天堂是很难真的存在的。而一项长期记录数据显示,使用任何密码管理器的风险都显著存在的,从而加剧了密码的困境,在特定密码管理器中的漏洞使得攻击者得到库中的内容。

专家:无需担心

密码专家Jeremi Gosney说:

“现实世界里,终端用户的泄露风险是最小的。LastPass中100000循环的哈希程序是他见过的最强大的。”

另一位专家Gosney写道:

“目前攻击者破解GPU密码最快可以每秒猜测不到1000个哈希密码。这是很慢的!甚至弱密码也是在一个相当安全的保护水平下(除非你用的是一个荒谬的弱密码),而这还没有考虑可由用户配置的客户端数量迭代。默认值为5000次迭代,我们至少能看到105000次迭代。而我实际上设置了65000此迭代,所以总共有165000次迭代Diceware密码保护。所以,我绝对不会紧张。我甚至不认为我需要变更我的主密码。”

LastPass帮助用户保存多个网站的密码,随后自动登录这些网站,因此用户将没有必要再记忆多个单独的密码。LastPass还提供了一款工具,用于生成复杂密码串,而用户只需记住主密码即可使用该服务。不过,这样做的安全性取决于LastPass没有被黑。

作者:明明知道

来源:51CTO

在线密码管理器LastPass遭入侵 官方建议修改主密码相关推荐

  1. 在线密码管理器LastPass被黑

    本文讲的是 在线密码管理器LastPass被黑,在线密码管理器LastPass公司在上周五公布了其网络被黑事件,LastPass用户将会看到建议修改主密码的弹出框. 经过深入调查公司安全团队检测到的& ...

  2. linux用户密码管理,Linux_详解Linux中的用户密码管理命令passwd和change,passwd 修改用户密码参数 nbsp - phpStudy...

    详解Linux中的用户密码管理命令passwd和change passwd 修改用户密码 参数 -k 保持未过期身份验证令牌 -l 关闭账号密码.效果相当于usermod -L,只有root才有权使用 ...

  3. 开源密码管理器更安全吗?(2)

    密码管理器怎样保护我们的密码? 加密原理 密码学历史悠久,常用于古代军事通信. 3000年前姜子牙就发明了阴符,2000年前罗马帝国诞生了广泛使用的凯撒密码.这些都称为古典密码,通常使用替换法或者移位 ...

  4. 什么是密码管理器?它安全吗?

    密码管理器或密钥管理员是一类用于生成.检索.保存及管理复杂密码.数字签名的措施,可以由硬件或软件实现.因此,密码管理器一般也称作密码管理软件. 复杂密码的生成一般按需要以随机算法产生,而密码数据则保存 ...

  5. ac管理器管理员密码忘记了_人们为什么不使用密码管理器

    ac管理器管理员密码忘记了 Password managers generate secure, complex and unique passwords automatically for each ...

  6. 这五款热门商用密码管理器中均存在缺陷,可导致用户凭证被盗

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 英国约克大学的研究员 Michael Carr 和 Siamak F. Shahandashti从五款热门商用密码管理器 LastPa ...

  7. 4款好用的密码管理器,你值得拥有

    上周,美国密码管理应用公司 Splash Data发布了「2018 年度最弱密码」榜单,其中123456和passworld 已经连续5年成为最弱密码榜单的冠亚军. 这些在现实世界看似毫无价值的账户密 ...

  8. 密码管理器(PM)安全机制和问题研究

    密码管理器(PM)安全机制和问题研究 1 研究背景 随着身份认证技术的发展,除了传统的用户名/密码认证之外,动态口令认证.智能卡认证.生物特征认证也逐渐在该领域中占领一席之地,但仍然存在一些安全性问题 ...

  9. KeePass:强大的开源免费放心的密码管理器

    一.引言 自从使用了 iPhone,就开始使用密码管理软件了.密码管理软件,顾名思义,就是只需要记住一个密码(密码管理器的密码),就可以管理自己的所有的账号密码了.并且一般的密码管理软件还会提供复杂密 ...

  10. 火狐浏览器锁定搜索_firefox锁定密码管理器的安全性如何

    火狐浏览器锁定搜索 After hearing that LastPass was acquired by a private equity firm[1], I decided it might b ...

最新文章

  1. magento 多语言 ,后台手工更改方法
  2. C#取整函数Math.Round、Math.Ceiling和Math.Floor
  3. 001_jQuery简介
  4. go interface转int_32. 一篇文章理解 Go 里的函数
  5. jquery 判断手势滑动方向(上下左右)
  6. mysql大数据分库和分表 php解决方案
  7. 若川的2018年度总结,平淡无奇
  8. c语言i++和++i程序_使用C ++程序从链接列表中消除重复项
  9. vba校对统计不同工作薄(2)
  10. html模态窗口调试,在模态窗口中显示HTML标记
  11. 神秘七年、融资23亿美元,Magic Leap终于发售首款产品,被吐槽full of shit
  12. QuickLook 空格键预览文件工具
  13. 二种清空数据库的好方法
  14. Oracle 中运用rollup和cube实现汇总运算
  15. lsof 功能使用详解
  16. 分享12306秒票杀手锏源码
  17. CCC认证有没有2019年新的具体的收费标准
  18. 三种非递归遍历二叉树的方法
  19. 夏普科学计算机标准差,夏普比率-标准差-贝他系数
  20. win10删除右键菜单多余项

热门文章

  1. 从内存模型角度说明volatile与synchronized在并发特性方面的区别
  2. seata xid是什么_Spring Cloud Alibaba分布式事务解决框架Seata概念入门篇
  3. python的符号lt和gt怎么输入_lt;lt;Python基础教程gt;gt;学习笔记 | 第04章 | 字典...
  4. gwas snp 和_Science | 群体研究新思路:De novo + GWAS
  5. 算法笔记:tarjan算法求强连通分量割点桥
  6. 快速突破面试算法之字符串表篇
  7. java注释符_Java程序中的单行注释符是(  ),多行注释符是( )。
  8. mysql内容_mysql 的基本内容
  9. Linux安装mysql5.7.35
  10. 全局配置_再次强调:必须站在全局的角度去考虑客厅的内机配置