LastPass致用戶：請更改你的主密碼，并立即啟用雙因素身份驗證!

作為當前全球最熱門的密碼保管服務之一，LastPass公司周一警告稱，攻擊者攻破了運行公司密碼管理服務的設備，并盜取了用戶的受保護密碼及其他敏感的數據。這是在過去四年中該服務器第二次發生數據泄露情況。

LastPass用戶數據泄露

LastPass CEO Joe Siegrist在博客中寫道：總之，未知的攻擊者獲得了用戶哈希密碼、加密加鹽、密碼提示以及電子郵箱地址。他強調沒有證據顯示攻擊者能夠進入存放用戶純文本密碼的地方。因為這些數據庫的主密碼受到保護，而破解需要極大的運算量。

“我們相信我們的加密措施足以保護絕大多數的用戶，LastPass對認證哈希加強了防護，采用了隨機因子并在客戶端外的PBKDF2-SHA256服務器端實施了10萬個循環。這將顯著提高快速攻擊被盜哈希的難度。”

相比之下，很多網站使用的極速散列算法，只提供最低限度的保護。

這是在LastPass工作人員發現他們服務器日志存在網絡漏洞的四年后。2011年受影響的數據包括訪問哈希密碼、底層密碼加鹽以及用戶的電子郵件信息。同年，一位安全研究員發現了LastPass網站中的一個XSS漏洞，攻擊者能夠竊取用戶的敏感數據。信息存在泄露風險，包括電子郵箱地址、密碼提示、用戶登錄的網站列表、時間、日期以及IP登錄地址。而LastPass對漏洞進行了及時修復。

官方建議

LastPass建議：該服務的所有用戶都需要設置新的主密碼，而如果用戶已開啟兩步驗證功能，那么所有從新設備或新IP地址登錄帳號的用戶都需要通過電子郵件去驗證身份。如果用戶采用較弱主密碼，重置主密碼尤為重要，因為這類的密碼更容易被黑客破解。如果用戶還將這一主密碼用于其他多個網站的帳號，那么也應當在相應網站上修改。

攻擊者必然重新掀起關于將密碼存在云端的爭論風暴。即使密碼受到強大的保護，專家認為當它們在經過LastPass，云仍然是一個不適合儲存的脆弱環境。

再說，終端用戶的電腦也是出了名的易攻破，因此敏感數據的安全天堂是很難真的存在的。而一項長期記錄數據顯示，使用任何密碼管理器的風險都顯著存在的，從而加劇了密碼的困境，在特定密碼管理器中的漏洞使得攻擊者得到庫中的內容。

專家：無需擔心

密碼專家Jeremi Gosney說：

“現實世界里，終端用戶的泄露風險是最小的。LastPass中100000循環的哈希程序是他見過的最強大的。”

另一位專家Gosney寫道：

“目前攻擊者破解GPU密碼最快可以每秒猜測不到1000個哈希密碼。這是很慢的!甚至弱密碼也是在一個相當安全的保護水平下(除非你用的是一個荒謬的弱密碼)，而這還沒有考慮可由用戶配置的客戶端數量迭代。默認值為5000次迭代，我們至少能看到105000次迭代。而我實際上設置了65000此迭代，所以總共有165000次迭代Diceware密碼保護。所以，我絕對不會緊張。我甚至不認為我需要變更我的主密碼。”

LastPass幫助用戶保存多個網站的密碼，隨后自動登錄這些網站，因此用戶將沒有必要再記憶多個單獨的密碼。LastPass還提供了一款工具，用于生成復雜密碼串，而用戶只需記住主密碼即可使用該服務。不過，這樣做的安全性取決于LastPass沒有被黑。