安全专家称LastPass数据泄露声明包括半真半假和彻头彻尾的谎言
知名密码管理器 LastPass 目前深陷数据泄露漩涡,以目前公开数据来看除了用户主密码外,其他数据基本都已经泄露,包括但不限于用户真实姓名、账户名、电子邮件、密码、公司、地址、访问 IP 等。
用户保存的密码理论上需要使用主密码去解密,只要主密码没有泄露那么理论上说暂时是安全的,况且主密码是 AES 加密。但事实真的如此吗?
安全专家 Wladimir Palant 发布博客称 LastPass 的数据泄露声明包括半真半假和彻头彻尾的谎言,这些精心撰写的声明将所有责任推给用户,且欺骗用户。
主密码真的数百万年才能被破解?
按照 LastPass 的说法,该公司不存储用户的主密码,如果用户没有泄露的话,主密码难以被破解。LastPass 称如果用户按照该公司建议进行设置的,黑客需要数百万年时间才能破解出密码。
然而事实上是用户不可能将自己的主密码也设置为纯粹的随机数,超过 12 位的密码已经难以记忆,更别提更长的随机数密码。
而短的非随机数密码可能两个月就可以成功破解,但 LastPass 不会告诉你这个事实,LastPass 试图淡化风险。
上面只是其中一点,Wladimir Palant 在博客中对 LastPass 的声明进行逐段批判,对使用 LastPass 的用户来说值得看看。
最后是建议:建议所有使用 LastPass 的用户将自己保存的所有网站的账号密码都改掉,鬼知道在网页上输入主密码的时候他们的服务器有没有被安插木马已经记录了主密码。
虽然改所有密码是个非常花时间且麻烦的事情,不过现在不改等密码被爆破的时候后悔就来不及了。