是时候放弃 LastPass 了!数据泄露事件令人担忧

你听说过一次又一次:您需要 使用密码管理器来生成强而独特的密码并为您跟踪它们。如果您最终选择了免费的主流选项,尤其是在 2010 年代,那可能是 LastPass。然而,对于该安全服务的 2560 万用户,该公司在 12 月 22 日发布了一个令人担忧的公告:该公司之前(11 月 30 日)报告的一起安全事件实际上是一次大规模且令人担忧的数据泄露事件,它暴露了加密密码库——皇冠上的珠宝任何密码管理器——以及其他用户数据。

LastPass 一周前提供的有关情况的详细信息足以令人担忧,安全专业人员迅速开始呼吁用户切换到其他服务。现在,自信息披露以来将近一周,该公司没有向困惑和担忧的客户提供更多信息。LastPass 尚未回复 多次评论请求,即有多少密码保险库在违规行为中遭到破坏以及有多少用户受到影响。

该公司甚至没有澄清违规发生的时间。似乎是在 2022 年 8 月之后的某个时间,但时机很重要,因为一个大问题是攻击者需要多长时间才能开始“破解”或猜测用于加密被盗密码库的密钥。如果攻击者已经用了三四个月的时间来处理被盗数据,那么对于受影响的 LastPass 用户来说,情况比黑客只有几周的时间更为紧迫。该公司也没有回应《连线》杂志关于其用于存储加密和未加密保险库数据的所谓“专有二进制格式”的问题。在描述情况的规模时,该公司在其公告中表示,黑客“能够从加密存储容器中复制客户保险库数据的备份。”

“在我看来,他们正在做世界级的事件检测工作,但在预防问题和透明响应方面做得非常非常糟糕,”七年多前在 LastPass 工作的安全工程师 Evan Johnson 说。“我要么寻找新的选择,要么希望看到他们的新管理团队在未来几个月内重新关注建立信任。”

泄露事件还包括其他客户数据,包括姓名、电子邮件地址、电话号码和一些账单信息。长期以来,LastPass 因以混合格式存储其保险库数据而受到批评,在这种格式中,密码等项目被加密,但 URL 等其他信息则没有。在这种情况下,保险库中的明文 URL 可以让攻击者了解里面的内容,并帮助他们确定首先破解哪些保险库的优先级。由用户选择的主密码保护的保险库,对于在违规后寻求保护自己的用户来说是一个特殊的问题,因为现在使用 LastPass 更改主密码不会对保护保险库数据起到任何作用已经被盗了。

或者,正如 Johnson 所说,“随着保险库的恢复,入侵 LastPass 的人有无限的时间通过猜测密码和尝试恢复特定用户的主密钥进行离线攻击。”

这意味着 LastPass 用户应该检查他们的保险库并采取额外的措施来保护自己——包括更改他们所有的密码。

首先为尽可能多的帐户启用双因素身份验证,尤其是电子邮件、金融服务和频繁使用的社交媒体帐户等高价值帐户。这样,即使攻击者泄露了帐户密码,如果没有您作为第二个因素添加的一次性代码或硬件身份验证密钥,他们也无法实际登录。接下来,更改所有这些敏感和高价值帐户的密码。然后更改存储在 LastPass 保管库中的所有剩余密码。

当您正在执行所有这些操作(或至少尽可能多地执行此操作)时,切换到新密码管理器的时机已经成熟。您可以在更改帐户时将帐户添加到新服务。 推荐1Password 和免费服务 Bitwarden,以及一些替代方案。我们没有推荐 LastPass,因为该公司在几年前缩减了其免费产品,因为 LastPass 在最近的、最可怕的漏洞被揭露之前就已经遭受了一系列过去的安全事件。

“百分之一百,是的,人们应该改用其他密码管理器,”一位高级安全工程师说,由于与 LastPass 安全团队的人员有专业关系,他要求不透露姓名。“他们没有做他们应该提供的一件事——基于云的安全凭证存储。”

安全从业者普遍强调,LastPass 的情况不应阻止人们普遍使用密码管理器。如果你是 LastPass 的忠实用户,你仍然应该更改你的保险库密码,为提供它的每个帐户打开双因素身份验证,并更改你保险库中的所有密码,即使你没有迁移到其他地方过程。

“作为具有处理和传达欧盟数据泄露通知经验的人,我会说 LastPass 选择的通信策略可能会破坏用户的信心,”独立隐私研究员和顾问 Lukasz Olejnik 说。“最大的问题也是时机。为什么要在年终假期之前,几个月前就开始了初步调查?”

正如雅虎安全团队的长期密码破解者和高级首席工程师杰里米·戈斯尼 (Jeremi Gosney )本周在一系列关于这种情况的广泛帖子中写道:“我曾经支持 LastPass。多年来我一直在推荐它,并在媒体上公开为它辩护……但情况发生了变化。”