LastPass称黑客窃取了密码库客户距离被攻破仅差一个主密码

michael80 · 发表于 2022-12-23 09:07

密码管理器开发商LastPass证实，网络犯罪分子在今年早些时候的数据泄露事件中窃取了其客户的加密密码库，这些密码库存储了客户的密码和其他秘密。LastPass首席执行官卡里姆-图巴(Karim Toubba)在其披露的最新博文中说，入侵者通过使用从LastPass一名员工那里偷来的云存储密钥，拿走了一份客户密码库数据的备份。

客户密码库的缓存以一种"专有的二进制格式"存储，包含未加密和加密的密码库数据，但这种专有格式的技术和安全细节没有具体说明。未加密的数据包括金库存储的网址，但LastPass没有说更多或在什么情况下，目前还不清楚被盗的备份时间有多近。

不过，LastPass表示，客户的密码库是加密的，只能用客户的主密码解锁，而主密码只有客户自己知道。但该公司警告说，入侵事件背后的网络犯罪分子"可能试图使用蛮力来猜测你的主密码，并解密他们拿走的保险库数据副本。"

Toubba说，网络犯罪分子还拿走了大量的客户数据，包括姓名、电子邮件地址、电话号码和一些账单信息。

密码管理器生成的密码都是长的、复杂的，并且对每个网站或服务都是独一无二的。但是，像这样的安全事件提醒我们，并不是所有的密码管理器都是平等的，可以通过不同的方式被攻击或破坏。鉴于每个人的威胁模式不同，没有一个人会有与之相同的要求。

在像这样罕见的糟糕事件中，我们在解析LastPass的数据泄露通知时阐明了这一点--如果不良行为者能够进入客户的加密密码库，"他们只需要受害者的主密码"。一个暴露的或被破坏的密码库只有在加密以及密码被用来扰乱它的情况下才会显得有用。

作为LastPass的客户，你能做的最好的事情是将你目前的LastPass主密码改为一个新的和独特的密码（或口令），并写下来保存在一个安全的地方，这么做以后，意味着您当前的LastPass库是安全的。

如果您认为您的LastPass密码库可能受到影响，例如您的主密码很弱，或者您在其他地方使用了它，您现在就应该开始改变存储在LastPass密码库中的密码。从最关键的账户开始，如电子邮件账户、手机账户、银行账户和社交媒体账户。

好消息是，任何受双因素认证保护的账户都会使攻击者在没有第二个因素的情况下更难访问你的账户，例如电话弹出或短信或电子邮件发送的代码。这就是为什么首先要保护那些第二因素的账户，如你的电子邮件账户和手机计划账户。

信息来源：
https://www.toutiao.com/article/7180109034597712445/

Fury · 发表于 2022-12-23 10:32

并写下来保存在一个安全的地方

这种建议是认真的吗

Alienxzy · 发表于 2022-12-23 11:24

Fury 发表于 2022-12-23 10:32
这种建议是认真的吗

密码学的尽头是社会工程学

此人无才 · 发表于 2022-12-23 11:42

前年刚弃用lastpass。。。不知道被盗的备份是啥时候的。有点慌。

话说，他盗走了备份，那主密码不应该是备份时间节点的主密码么，现在改主密码还有用？

michael80 · 发表于 2022-12-23 12:10

此人无才发表于 2022-12-23 11:42
前年刚弃用lastpass。。。不知道被盗的备份是啥时候的。有点慌。

话说，他盗走了备份，那主密码不应该是备 ...

我的理解是，没主密码这个钥匙，连lastpass都解不开用户保存的密码。

此人无才 · 发表于 2022-12-23 12:22

michael80 发表于 2022-12-23 12:10
我的理解是，没主密码这个钥匙，连lastpass都解不开用户保存的密码。

lastpass是这么宣传的，没有主密码，官方也没法解密。
我担心的是，副本被盗了，是不是暴力解密不受次数限制了。。。

michael80 · 发表于 2022-12-23 12:25

此人无才发表于 2022-12-23 12:22
lastpass是这么宣传的，没有主密码，官方也没法解密。
我担心的是，副本被盗了，是不是暴力解密不受次数 ...

是的，这也是新闻里提醒大家的地方。

在本地解密，比在线攻击的效率高多了（高很多个数量级）。

主密码是弱密码的，那就基本就是被攻破了。

JiaYu · 发表于 2022-12-23 13:03

早几年就弃用这个东西了
受不了这厂商对国内用户的歧视
原来有简体中文，还特意取消了你敢信。。

赫敏 · 发表于 2022-12-23 13:32

公司还特意给每个人都买了授权，还强调说一定要用这个不要用浏览器的保存密码，离谱

porsche4me · 发表于 2022-12-23 13:51

唉，是软件都有漏洞，本地攻击攻破就是时间问题。一旦找到突破口，全部沦陷也就是分分钟的事啦。理论上暴利破解需要成百上千年，理论上围棋电脑还算不过来呢，这不几年的光景人类已经下不过围棋了。

如果LastPass因此而破产，这绝对是教科书级的失败案例，以后各种安全课程估计都得拿来介绍介绍啊。。。

litel · 发表于 2022-12-23 14:05

好久之前就清空了lastpass，换到bw了

JonirRings · 发表于 2022-12-23 14:06

lastpass+1password都在用的表示很慌……

怪叔叔 · 发表于 2022-12-23 14:15

哈哈，多年前用过类似的，最终回归一般的密码用浏览器，重要的用脑子

mj_majun · 发表于 2022-12-23 15:37

完了完了，这一下子，大家都知道我买不起宝马不是因为前脸太丑了

pirately · 发表于 2022-12-23 15:39

还好好多年前就放弃lastpass了。用自建的bitwarden

houshuheng · 发表于 2022-12-23 17:33

Fury 发表于 2022-12-23 10:32
这种建议是认真的吗

是认真的，我用的1password，会生成一个PDF，让填邮箱和主密码，然后打印

此人无才 · 发表于 2022-12-23 18:18

JiaYu 发表于 2022-12-23 13:03
早几年就弃用这个东西了
受不了这厂商对国内用户的歧视
原来有简体中文，还特意取消了你敢信。。 ...

对，当时一脸懵逼。怎么软件突然没中文了。

犬夜叉様 · 发表于 2022-12-23 20:31

Alienxzy 发表于 2022-12-23 11:24
密码学的尽头是社会工程学

刚工作的时候，信息安全部门的大佬们就说密码写纸上锁在抽屉或者保险箱才是上策，后来觉得确实有道理

joy88 · 发表于 2022-12-29 21:09

我用的enpass

账号		自动登录	找回密码
密码			加入我们

[安全相关] LastPass称黑客窃取了密码库 客户距离被攻破仅差一个主密码

[安全相关] LastPass称黑客窃取了密码库客户距离被攻破仅差一个主密码