|
作為當前全球最熱門的密碼保管服務之一,LastPass公司周一警告稱�,攻擊者攻破了運行公司密碼管理服務的設備,并盜取了用戶的受保護密碼及其他敏感的數(shù)據(jù)�。這是在過去四年中該服務器第二次發(fā)生數(shù)據(jù)泄露情況�。
LastPass用戶數(shù)據(jù)泄露
LastPass CEO Joe Siegrist在博客中寫道:總之,未知的攻擊者獲得了用戶哈希密碼�、加密加鹽、密碼提示以及電子郵箱地址�。他強調沒有證據(jù)顯示攻擊者能夠進入存放用戶純文本密碼的地方。因為這些數(shù)據(jù)庫的主密碼受到保護�,而破解需要極大的運算量。
“我們相信我們的加密措施足以保護絕大多數(shù)的用戶,LastPass對認證哈希加強了防護�,采用了隨機因子并在客戶端外的PBKDF2-SHA256服務器端實施了10萬個循環(huán)。這將顯著提高快速攻擊被盜哈希的難度�。”
相比之下�,很多網(wǎng)站使用的極速散列算法�,只提供最低限度的保護�。
這是在LastPass工作人員發(fā)現(xiàn)他們服務器日志存在網(wǎng)絡漏洞的四年后。2011年受影響的數(shù)據(jù)包括訪問哈希密碼�、底層密碼加鹽以及用戶的電子郵件信息。同年�,一位安全研究員發(fā)現(xiàn)了LastPass網(wǎng)站中的一個XSS漏洞,攻擊者能夠竊取用戶的敏感數(shù)據(jù)�。信息存在泄露風險,包括電子郵箱地址�、密碼提示、用戶登錄的網(wǎng)站列表�、時間、日期以及IP登錄地址�。而LastPass對漏洞進行了及時修復。
官方建議
LastPass建議:該服務的所有用戶都需要設置新的主密碼�,而如果用戶已開啟兩步驗證功能,那么所有從新設備或新IP地址登錄賬號的用戶都需要通過電子郵件去驗證身份�。如果用戶采用較弱主密碼,重置主密碼尤為重要�,因為這類的密碼更容易被黑客破解。如果用戶還將這一主密碼用于其他多個網(wǎng)站的賬號�,那么也應當在相應網(wǎng)站上修改。
攻擊者必然重新掀起關于將密碼存在云端的爭論風暴�。即使密碼受到強大的保護,專家認為當它們在經過LastPass,云仍然是一個不適合儲存的脆弱環(huán)境�。
再說,終端用戶的電腦也是出了名的易攻破�,因此敏感數(shù)據(jù)的安全天堂是很難真的存在的。而一項長期記錄數(shù)據(jù)顯示�,使用任何密碼管理器的風險都顯著存在的,從而加劇了密碼的困境�,在特定密碼管理器中的漏洞使得攻擊者得到庫中的內容。
專家:無需擔心
密碼專家Jeremi Gosney說:
“現(xiàn)實世界里,終端用戶的泄露風險是最小的�。LastPass中100000循環(huán)的哈希程序是他見過的最強大的?!?/p>
另一位專家Gosney寫道:
“目前攻擊者破解GPU密碼最快可以每秒猜測不到10個哈希密碼�。這是很慢的�!甚至弱密碼也是在一個相當安全的保護水平下(除非你用的是一個荒謬的弱密碼),而這還沒有考慮可由用戶配置的客戶端數(shù)量迭代�。
默認值為5000次迭代�,我們至少能看到105000次迭代。而我實際上設置了65000此迭代�,所以總共有165000次迭代Diceware密碼保護。所以�,我絕對不會緊張。我甚至不認為我需要變更我的主密碼�?!?br>
LastPass幫助用戶保存多個網(wǎng)站的密碼�,隨后自動登錄這些網(wǎng)站,因此用戶將沒有必要再記憶多個單獨的密碼�。LastPass還提供了一款工具,用于生成復雜密碼串�,而用戶只需記住主密碼即可使用該服務。不過�,這樣做的安全性取決于LastPass沒有被黑。
|
