lastpass緻使用者:請更改你的主密碼,并立即啟用雙因素身份驗證!
作為目前全球最熱門的密碼保管服務之一,lastpass公司周一警告稱,攻擊者攻破了運作公司密碼管理服務的裝置,并盜取了使用者的受保護密碼及其他敏感的資料。這是在過去四年中該伺服器第二次發生資料洩露情況。
lastpass使用者資料洩露
lastpass ceo joe siegrist在部落格中寫道:總之,未知的攻擊者獲得了使用者哈希密碼、加密加鹽、密碼提示以及電子郵箱位址。他強調沒有證據顯示攻擊者能夠進入存放使用者純文字密碼的地方。因為這些資料庫的主密碼受到保護,而破解需要極大的運算量。
“我們相信我們的加密措施足以保護絕大多數的使用者,lastpass對認證哈希加強了防護,采用了随機因子并在用戶端外的pbkdf2-sha256伺服器端實施了10萬個循環。這将顯著提高快速攻擊被盜哈希的難度。”
相比之下,很多網站使用的極速雜湊演算法,隻提供最低限度的保護。
這是在lastpass從業人員發現他們伺服器日志存在網絡漏洞的四年後。2011年受影響的資料包括通路哈希密碼、底層密碼加鹽以及使用者的電子郵件資訊。同年,一位安全研究員發現了lastpass網站中的一個xss漏洞,攻擊者能夠竊取使用者的敏感資料。資訊存在洩露風險,包括電子郵箱位址、密碼提示、使用者登入的網站清單、時間、日期以及ip登入位址。而lastpass對漏洞進行了及時修複。
官方建議
lastpass建議:該服務的所有使用者都需要設定新的主密碼,而如果使用者已開啟兩步驗證功能,那麼所有從新裝置或新ip位址登入帳号的使用者都需要通過電子郵件去驗證身份。如果使用者采用較弱主密碼,重置主密碼尤為重要,因為這類的密碼更容易被黑客破解。如果使用者還将這一主密碼用于其他多個網站的帳号,那麼也應當在相應網站上修改。
攻擊者必然重新掀起關于将密碼存在雲端的争論風暴。即使密碼受到強大的保護,專家認為當它們在經過lastpass,雲仍然是一個不适合儲存的脆弱環境。
再說,終端使用者的電腦也是出了名的易攻破,是以敏感資料的安全天堂是很難真的存在的。而一項長期記錄資料顯示,使用任何密碼管理器的風險都顯著存在的,進而加劇了密碼的困境,在特定密碼管理器中的漏洞使得攻擊者得到庫中的内容。
專家:無需擔心
密碼專家jeremi gosney說:
“現實世界裡,終端使用者的洩露風險是最小的。lastpass中100000循環的哈希程式是他見過的最強大的。”
另一位專家gosney寫道:
“目前攻擊者破解gpu密碼最快可以每秒猜測不到1000個哈希密碼。這是很慢的!甚至弱密碼也是在一個相當安全的保護水準下(除非你用的是一個荒謬的弱密碼),而這還沒有考慮可由使用者配置的用戶端數量疊代。預設值為5000次疊代,我們至少能看到105000次疊代。而我實際上設定了65000此疊代,是以總共有165000次疊代diceware密碼保護。是以,我絕對不會緊張。我甚至不認為我需要變更我的主密碼。”
lastpass幫助使用者儲存多個網站的密碼,随後自動登入這些網站,是以使用者将沒有必要再記憶多個單獨的密碼。lastpass還提供了一款工具,用于生成複雜密碼串,而使用者隻需記住主密碼即可使用該服務。不過,這樣做的安全性取決于lastpass沒有被黑。
作者:明明知道
來源:51cto