lastpass

LastPass致用户：请更改你的主密码，并立即启用双因素身份验证！

作为当前全球最热门的密码保管服务之一，LastPass公司周一警告称，攻击者攻破了运行公司密码管理服务的设备，并盗取了用户的受保护密码及其他敏感的数据。这是在过去四年中该服务器第二次发生数据泄露情况。

LastPass用户数据泄露

LastPass CEO Joe Siegrist在博客中写道：总之，未知的攻击者获得了用户哈希密码、加密加盐、密码提示以及电子邮箱地址。他强调没有证据显示攻击者能够进入存放用户纯文本密码的地方。因为这些数据库的主密码受到保护，而破解需要极大的运算量。

“我们相信我们的加密措施足以保护绝大多数的用户，LastPass对认证哈希加强了防护，采用了随机因子并在客户端外的PBKDF2-SHA256服务器端实施了10万个循环。这将显著提高快速攻击被盗哈希的难度。”

相比之下，很多网站使用的极速散列算法，只提供最低限度的保护。

这是在LastPass工作人员发现他们服务器日志存在网络漏洞的四年后。2011年受影响的数据包括访问哈希密码、底层密码加盐以及用户的电子邮件信息。同年，一位安全研究员发现了LastPass网站中的一个XSS漏洞，攻击者能够窃取用户的敏感数据。信息存在泄露风险，包括电子邮箱地址、密码提示、用户登录的网站列表、时间、日期以及IP登录地址。而LastPass对漏洞进行了及时修复。

官方建议

LastPass建议：该服务的所有用户都需要设置新的主密码，而如果用户已开启两步验证功能，那么所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件去验证身份。如果用户采用较弱主密码，重置主密码尤为重要，因为这类的密码更容易被黑客破解。如果用户还将这一主密码用于其他多个网站的帐号，那么也应当在相应网站上修改。

攻击者必然重新掀起关于将密码存在云端的争论风暴。即使密码受到强大的保护，专家认为当它们在经过LastPass，云仍然是一个不适合储存的脆弱环境。

再说，终端用户的电脑也是出了名的易攻破，因此敏感数据的安全天堂是很难真的存在的。而一项长期记录数据显示，使用任何密码管理器的风险都显著存在的，从而加剧了密码的困境，在特定密码管理器中的漏洞使得攻击者得到库中的内容。

专家：无需担心

密码专家Jeremi Gosney说：

“现实世界里，终端用户的泄露风险是最小的。LastPass中100000循环的哈希程序是他见过的最强大的。”

另一位专家Gosney写道：

“目前攻击者破解GPU密码最快可以每秒猜测不到1000个哈希密码。这是很慢的！甚至弱密码也是在一个相当安全的保护水平下（除非你用的是一个荒谬的弱密码），而这还没有考虑可由用户配置的客户端数量迭代。默认值为5000次迭代，我们至少能看到105000次迭代。而我实际上设置了65000此迭代，所以总共有165000次迭代Diceware密码保护。所以，我绝对不会紧张。我甚至不认为我需要变更我的主密码。”

LastPass帮助用户保存多个网站的密码，随后自动登录这些网站，因此用户将没有必要再记忆多个单独的密码。LastPass还提供了一款工具，用于生成复杂密码串，而用户只需记住主密码即可使用该服务。不过，这样做的安全性取决于LastPass没有被黑。

*参考来源：Ars，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM)