是时候放弃 LastPass 了!数据泄露事件令人担忧

图片[1]-是时候放弃 LastPass 了!数据泄露事件令人担忧-零度博客

你听说过一次又一次:您需要 使用密码管理器来生成强而独特的密码并为您跟踪它们。如果您最终选择了免费的主流选项,尤其是在 2010 年代,那可能是 LastPass。然而,对于该安全服务的 2560 万用户,该公司在 12 月 22 日发布了一个令人担忧的公告:该公司之前(11 月 30 日)报告的一起安全事件实际上是一次大规模且令人担忧的数据泄露事件,它暴露了加密密码库——皇冠上的珠宝任何密码管理器——以及其他用户数据。

LastPass 一周前提供的有关情况的详细信息足以令人担忧,安全专业人员迅速开始呼吁用户切换到其他服务。现在,自信息披露以来将近一周,该公司没有向困惑和担忧的客户提供更多信息。LastPass 尚未回复 多次评论请求,即有多少密码保险库在违规行为中遭到破坏以及有多少用户受到影响。

该公司甚至没有澄清违规发生的时间。似乎是在 2022 年 8 月之后的某个时间,但时机很重要,因为一个大问题是攻击者需要多长时间才能开始“破解”或猜测用于加密被盗密码库的密钥。如果攻击者已经用了三四个月的时间来处理被盗数据,那么对于受影响的 LastPass 用户来说,情况比黑客只有几周的时间更为紧迫。该公司也没有回应《连线》杂志关于其用于存储加密和未加密保险库数据的所谓“专有二进制格式”的问题。在描述情况的规模时,该公司在其公告中表示,黑客“能够从加密存储容器中复制客户保险库数据的备份。”

“在我看来,他们正在做世界级的事件检测工作,但在预防问题和透明响应方面做得非常非常糟糕,”七年多前在 LastPass 工作的安全工程师 Evan Johnson 说。“我要么寻找新的选择,要么希望看到他们的新管理团队在未来几个月内重新关注建立信任。”

泄露事件还包括其他客户数据,包括姓名、电子邮件地址、电话号码和一些账单信息。长期以来,LastPass 因以混合格式存储其保险库数据而受到批评,在这种格式中,密码等项目被加密,但 URL 等其他信息则没有。在这种情况下,保险库中的明文 URL 可以让攻击者了解里面的内容,并帮助他们确定首先破解哪些保险库的优先级。由用户选择的主密码保护的保险库,对于在违规后寻求保护自己的用户来说是一个特殊的问题,因为现在使用 LastPass 更改主密码不会对保护保险库数据起到任何作用已经被盗了。

或者,正如 Johnson 所说,“随着保险库的恢复,入侵 LastPass 的人有无限的时间通过猜测密码和尝试恢复特定用户的主密钥进行离线攻击。”

这意味着 LastPass 用户应该检查他们的保险库并采取额外的措施来保护自己——包括更改他们所有的密码。

首先为尽可能多的帐户启用双因素身份验证,尤其是电子邮件、金融服务和频繁使用的社交媒体帐户等高价值帐户。这样,即使攻击者泄露了帐户密码,如果没有您作为第二个因素添加的一次性代码或硬件身份验证密钥,他们也无法实际登录。接下来,更改所有这些敏感和高价值帐户的密码。然后更改存储在 LastPass 保管库中的所有剩余密码。

当您正在执行所有这些操作(或至少尽可能多地执行此操作)时,切换到新密码管理器的时机已经成熟。您可以在更改帐户时将帐户添加到新服务。 推荐1Password 和免费服务 Bitwarden,以及一些替代方案。我们没有推荐 LastPass,因为该公司在几年前缩减了其免费产品,因为 LastPass 在最近的、最可怕的漏洞被揭露之前就已经遭受了一系列过去的安全事件。

“百分之一百,是的,人们应该改用其他密码管理器,”一位高级安全工程师说,由于与 LastPass 安全团队的人员有专业关系,他要求不透露姓名。“他们没有做他们应该提供的一件事——基于云的安全凭证存储。”

安全从业者普遍强调,LastPass 的情况不应阻止人们普遍使用密码管理器。如果你是 LastPass 的忠实用户,你仍然应该更改你的保险库密码,为提供它的每个帐户打开双因素身份验证,并更改你保险库中的所有密码,即使你没有迁移到其他地方过程。

“作为具有处理和传达欧盟数据泄露通知经验的人,我会说 LastPass 选择的通信策略可能会破坏用户的信心,”独立隐私研究员和顾问 Lukasz Olejnik 说。“最大的问题也是时机。为什么要在年终假期之前,几个月前就开始了初步调查?”

正如雅虎安全团队的长期密码破解者和高级首席工程师杰里米·戈斯尼 (Jeremi Gosney )本周在一系列关于这种情况的广泛帖子中写道:“我曾经支持 LastPass。多年来我一直在推荐它,并在媒体上公开为它辩护……但情况发生了变化。”

THE END
喜欢就支持一下吧
点赞1091 分享
LANDrop 目前用过最最好用的跨平台传输工具!完全免费开源-零度博客

LANDrop 目前用过最最好用的跨平台传输工具!完全免费开源

LANDrop 是我目前用过最最好用的跨平台传输工具!它会自动检测同一 Wi-Fi 网络上的其他 LANDrop 设备,因此您无需手动输入 IP 地址。LANDrop 会在后台处理一切——就像一个跨平台的 AirDrop 一...
admin的头像-零度博客admin
3.4W+4488
新的 Gmail 向所有人推出,您现在可以隐藏那个大侧边栏-零度博客

新的 Gmail 向所有人推出,您现在可以隐藏那个大侧边栏

新的 Gmail 即将进入您的帐户,但可以调整。 新的桌面版 Gmail 设计于本周末开始推出。如果您使用默认主题,当您的整个 Gmail 界面变为蓝色时,您就会知道它已经到来。Gmail 的新设计于 2 月首...
admin的头像-零度博客admin
1.7W+2250
俄罗斯创建自己的 TLS 证书颁发机构以绕过制裁-零度博客

俄罗斯创建自己的 TLS 证书颁发机构以绕过制裁

俄罗斯已成立国内可信 TLS 证书颁发机构 (CA),以帮助俄罗斯网站更新其 TLS 证书并继续为其访问者提供服务。 在入侵乌克兰之前,位于俄罗斯的网站会向国际 CA 支付更新其 TLS 证书的费用。然而...
admin的头像-零度博客admin
1.5W+2251
IOPaint 图片去水印!托管在 hugging face 上的免费神器!值得收藏-零度博客

IOPaint 图片去水印!托管在 hugging face 上的免费神器!值得收藏

IOPaint 是由 SOTA AI 模型提供支持的免费开源修复和修复工具,可以轻松实现图片去水印,去除图片不需要的部分,是目前效果最好的一个项目!完全免费开源 IOPaint 已经托管到 hugging face上,...
admin的头像-零度博客admin
2.1W+1941
惊呆!Windows 11 居然可以这么流畅,精简后,老旧电脑也能飞快运行!超级丝滑!| 零度解说-零度博客

惊呆!Windows 11 居然可以这么流畅,精简后,老旧电脑也能飞快运行!超级丝滑!| 零度解说

https://youtu.be/9q7ykgIZkYY ==============   ? Windows 11 的精简版ISO文件及工具下载:https://www.freedidi.com/10422.html ? 安全VPN推荐(排名前3): 1.Surfshark :https://bitt...
admin的头像-零度博客admin
1.7W+1682
批量图片下载器 - Imageye-零度博客

批量图片下载器 – Imageye

一款用于嗅探、分析网页图片并提供批量下载等功能的浏览器扩展程序。   使用批量图片下载器在网页上查找并下载所有图像。 使用此批量图片下载器,您可以在网页上查找,浏览并下载所有图像...
admin的头像-零度博客admin
2.2W+2177
即将到来的 Android 更新可能会阻止您删除应用程序-零度博客

即将到来的 Android 更新可能会阻止您删除应用程序

智能手机上的存储空间不再是以前的问题,但如果你正在下载十亿个应用程序或拥有更便宜的手机,那么它有时仍然是一个问题,而且它是即将到来的 Android 更新——可能是Android 13——的问题。可...
admin的头像-零度博客admin
1.5W+2251
Grok 3 、Deepseek、ChatGPT 在线下棋!谁是最终赢家?-零度博客

Grok 3 、Deepseek、ChatGPT 在线下棋!谁是最终赢家?

 1、五子棋自定义对决:【点击前往】2、五子棋多人在线比赛:【点击前往】  
admin的头像-零度博客admin
1.6W+2046
2022年最后一次分享超实用的10款免费软件!-零度博客

2022年最后一次分享超实用的10款免费软件!

1.IDM 【正版购买】 、【开心免费试用版】 2.geekuninstall 【官网下载】 3.everything 【官网下载】 4.powertoy 【应用下载】 5.handbreak 【官网下载】 6.Potplayer 视频播放器 【官网下载】...
admin的头像-零度博客admin
2.2W+3252