LastPass致用户:请更改你的主密码,并立即启用双因素身份验证!
作为当前全球最热门的密码保管服务之一,LastPass公司周一警告称,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据。这是在过去四年中该服务器第二次发生数据泄露情况。
LastPass用户数据泄露
LastPass CEO Joe Siegrist在博客中写道:总之,未知的攻击者获得了用户哈希密码、加密加盐、密码提示以及电子邮箱地址。他强调没有证据显示攻击者能够进入存放用户纯文本密码的地方。因为这些数据库的主密码受到保护,而破解需要极大的运算量。
“我们相信我们的加密措施足以保护绝大多数的用户,LastPass对认证哈希加强了防护,采用了随机因子并在客户端外的PBKDF2-SHA256服务器端实施了10万个循环。这将显著提高快速攻击被盗哈希的难度。”
相比之下,很多网站使用的极速散列算法,只提供最低限度的保护。
这是在LastPass工作人员发现他们服务器日志存在网络漏洞的四年后。2011年受影响的数据包括访问哈希密码、底层密码加盐以及用户的电子邮件信息。同年,一位安全研究员发现了LastPass网站中的一个XSS漏洞,攻击者能够窃取用户的敏感数据。信息存在泄露风险,包括电子邮箱地址、密码提示、用户登录的网站列表、时间、日期以及IP登录地址。而LastPass对漏洞进行了及时修复。
官方建议
LastPass建议:该服务的所有用户都需要设置新的主密码,而如果用户已开启两步验证功能,那么所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件去验证身份。如果用户采用较弱主密码,重置主密码尤为重要,因为这类的密码更容易被黑客破解。如果用户还将这一主密码用于其他多个网站的帐号,那么也应当在相应网站上修改。
攻击者必然重新掀起关于将密码存在云端的争论风暴。即使密码受到强大的保护,专家认为当它们在经过LastPass,云仍然是一个不适合储存的脆弱环境。
再说,终端用户的电脑也是出了名的易攻破,因此敏感数据的安全天堂是很难真的存在的。而一项长期记录数据显示,使用任何密码管理器的风险都显著存在的,从而加剧了密码的困境,在特定密码管理器中的漏洞使得攻击者得到库中的内容。
专家:无需担心
密码专家Jeremi Gosney说:
“现实世界里,终端用户的泄露风险是最小的。LastPass中100000循环的哈希程序是他见过的最强大的。”
另一位专家Gosney写道:
“目前攻击者破解GPU密码最快可以每秒猜测不到10个哈希密码。这是很慢的!甚至弱密码也是在一个相当安全的保护水平下(除非你用的是一个荒谬的弱密码),而这还没有考虑可由用户配置的客户端数量迭代。默认值为5000次迭代,我们至少能看到105000次迭代。而我实际上设置了65000此迭代,所以总共有165000次迭代Diceware密码保护。所以,我绝对不会紧张。我甚至不认为我需要变更我的主密码。”
LastPass帮助用户保存多个网站的密码,随后自动登录这些网站,因此用户将没有必要再记忆多个单独的密码。LastPass还提供了一款工具,用于生成复杂密码串,而用户只需记住主密码即可使用该服务。不过,这样做的安全性取决于LastPass没有被黑。
*参考来源:Ars,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
该文章由WP-AutoPost插件自动采集发布
有点看不明白,有点深奥