本文講的是<b>LastPass想讓你把密碼和二次驗證碼存在一塊,但這真的很不安全</b>,
密碼管理器LastPass最近推出了一個新功能,支援存放二次驗證碼/雙因素驗證因子。對于黑客來說,這可能是個好消息。
近年來資料洩漏事件頻發,越來越多人開始使用雙因素驗證,來保護個人賬号不受攻擊者觊觎,以及檢查是否有人試圖登入。
一般情況下,當你要登入某個賬号時,網站會将發送一次性驗證碼到你的裝置上(通常是手機),并要求填寫驗證碼才能繼續。
Google、Facebook、Dropbox在内的許多公司也在使用另一種方式,在裝置或應用程式内生成一次性驗證碼。你在賬号設定裡打開雙因素驗證,使用相關應用掃描對應的二維碼,以後應用就會每分鐘重新整理一個驗證碼了。每次登入輸入賬号密碼後,再把當時那一分鐘的驗證碼填進去,便能登入。
下邊這種正是LastPass此次支援的功能。LastPass Authenticator,LastPass新出的驗證碼應用,支援是以基于時間的一次性密碼标準(TOTP)算法的服務。它将雙因素驗證因子存儲在LastPass賬号中,可以在不同裝置之間雲同步。
很友善對吧?但這對使用者來說可能不太妙。
如果有人盜走你的LastPass賬号,LastPass Authenticator将破壞雙因素驗證的優勢:使用不同裝置做第二次驗證。
使用密碼管理器要好于隻使用幾個固定密碼,因為至少你可以為每個網站設定不同的、更複雜的密碼。
但它也帶來了單點危機——你的所有密碼都存在LastPass上,而現在還要再加上二次驗證碼,将使單點危機更為嚴重,就像往裝滿雞蛋的籃子裡繼續添放雞蛋一樣。
在現實世界,這可能隻是一個理論上的風險,隻要你為LastPass賬号設定了複雜密碼,關鍵資料失竊的風險會非常小。
LastPass曆史上曾經發生過兩次被黑事件(官方稱失竊資料是加密保護的),在最近,LastPass出現過網站故障,自身的雙因素驗證被曝出多個嚴重漏洞。
原文釋出時間為:2017年5月22日
本文作者:longye
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/4934.html" target="_blank">原文連結</a>