在互联网时代,密码的安全性越来越受到重视。为了分散风险,很多人会在多个网站使用不同的密码。
但是这样一来,我们要管理的密码数量会大大增加,光靠记忆很容易出错。
span style="outline: 0px;max-width: 100%;font-size: 15px;letter-spacing: 1px;box-sizing: border-box !important;overflow-wrap: break-word !important;">
尤其是设置了随机生成的复杂强密码,更加难以记住。
于是,专门的密码管理器诞生了。
2008年创立的LastPass密码管理器,便是全球最受欢迎的密码管理服务之一。不仅用户数最多,综合评价也是最好的。
LastPass官网显示,其已经拥有3000多万个人用户及8万余家企业用户。
LastPass之所以如此受欢迎,一方面,是因为它支持iOS、Android、Windows、MacOS等跨平台无缝同步。
另一方面,就是它使用起来十分方便,用户只需记住一个主密码,就能保存其他平台的密码并在需要登录时自动输入。
并且按照官方的说法,LastPass内部也无法获取用户的帐号密码信息,用户的数据都只对自己开放。
上线多年来,LastPass一直都以安全、加密级别高而著称。
然而近期,这款多年来保持着优秀口碑的密码管理工具也疑似大翻车了。
近日,数百名用户在Twitter、reddit等社交平台上发布消息称,自己的LastPass账户主密码被泄露。
他们得到了系统通知称,有不同IP尝试通过他们的主密码登录账号(当用户在不常用地区登录账户时,LastPass会发布邮件通知)。
这意味着,用户保存在LastPass中的所有账号密码都将处于危险之中。
还有部分用户声称,修改密码并没有帮助。
因为在修改密码后,他们还是会看到来自不同地点的新的登录尝试。
值得庆幸的是,从这些报告可以看出,由于攻击者并不是在用户常用地区登录,所以系统在检测到风险后便自动阻止了。
但问题的关键是,用户的主密码究竟是如何遭到泄露的?
从大多数报告来看,遇到这种情况的用户,似乎都已经长期没有使用过LastPass服务。
12月28日,LastPass发布了一份声明,指出其安全团队观察到并收到了潜在的未知攻击者撞库尝试的报告。
也就是说,有攻击者使用从第三方获取到的电子邮件和密码去尝试登录LastPass上的用户账号。
还有一部分用户收到的安全警报,则可能是错误触发的。为此,官方调整了安全警报系统,并宣布问题已得到解决。
虽然撞库这种手段已经十分老旧,但对一些密码设置不严谨的帐号来说还是相当容易中招的。
然而,在LastPass发布声明后,依然有用户反驳称,自己为LastPass设置的主密码是独立的,从未在其他地方使用过,因此不可能是撞库泄露。
再加上不止一名用户在修改主密码后又收到同样的异常警告,如果是撞库,新密码不会这么快也立即泄露。
所以,截止扩展迷本文撰稿时,仍不清楚本次密码泄露的严重程度,也不清楚此次事件到底是外部攻击还是LastPass内部泄露导致。
值得一提的是,这并非是LastPass第一次被曝出存在安全风险的问题。
在今年早些时候,名为Kuketz和Exodus的两个安全研究团队分析发现,LastPass中内置了7种不同的追踪器,可能是用来收集并发送用户个人数据的。
报告中显示,这7种追踪器中,有4个是来自谷歌的追踪器,另外3个追踪器会分别向AppsFlyer,MixPanel和Segment提供信息。
而这三家均是专门为营销团队收集数据的公司。
如果看到这篇文章的小伙伴也在使用LastPass这款工具,我们建议你立即采取安全措施。
其中最简单有效的方式,就是使用多因素认证,这样在每次登录账号时都需要使用动态密码,安全性会大大提升。
另外,也建议大家及时更改邮箱账户,因为如果按照官方撞库的说法,那么旧邮箱很可能已经被泄露。
顺带一提,Bitwarden、RoboForm和Dashlane等密码管理器此前也被曝光过含有多款追踪器……
说到底,密码这种东西,最终还是保留在自己手里才放心。
温馨提示
关注【扩展迷Extfans】
阅读更多精彩内容
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/169204.html
