传黑客窃取3000万用户的LastPass密码数据库 用户最好更换所有密码
山外的鸭子哥 目前有关密码管理器 LastPass 被黑事件,官方自从 2022 年 12 月 22 日更新事件说明后,到现在已经没有新动静。不知道是问题太大不敢说还是还需要调查更多细节。
但国外一家付费科技网站 FTM 发布消息称,黑客从 LastPass 窃取的文件包含 3000 万名个人用户的密码库和 85000 家公司客户的密码库。
这些密码库确实是加密的,也就是使用用户的主密码加密,按 LastPass 说法他们没有存储用户主密码,因此除非用户泄露否则密码库无法被解密。
LastPass 虽然说的比较好听还夸赞自己的零信任基础架构,不幸的是 LastPass 没说前提用户使用的是高强度密码。
因为用户设定的主密码如果是弱密码的话那很容易被破解,到时候所有网站保存的账号密码乃至其他安全信息都会泄露。
更糟糕的是 FTM 认为 LastPass 其实是在转移责任,因为 LastPass 的言外之意就是如果用户自己泄露密码或者使用弱密码,那数据库被解密泄露所有数据那是用户的责任。
FTM 称实际上黑客窃取的文件也不是 LastPass 描述的那样,因为 LastPass 并不是把用户整个数据打包加密,而是一个包含了一些加密字段的文本文档,这种文本文档是否容易破解目前还有待 LastPass 自己出来说明。
另外 LastPass 目前似乎不愿意公开透露安全事件的最新调查,该公司目前仅邀请部分媒体记者或安全人士参与现场会议,而且要签署保密协议后才能获得内容。
作为安全建议,蓝点网建议用户立即修改使用 LastPass 保存的所有网站的账号密码,因为保存的字段里包含网址信息,因此一旦数据库被解密,那所有账号都不再安全。
修改所有网站账号密码确实是个很麻烦的事情,但既然你已经使用 LastPass 并且碰上这个事儿了,那也没其他办法了。
相关内容:
