密碼管理器開發商LastPass證實,網絡犯罪分子在今年早些時候的數據泄露事件中竊取其客戶的加密密碼庫,這些密碼庫存儲客戶的密碼和其他秘密。LastPass首席執行官卡裡姆-圖巴(KarimToubba)在其披露的最新博文中說,入侵者通過使用從LastPass一名員工那裡偷來的雲存儲密鑰,拿走一份客戶密碼庫數據的備份。
客戶密碼庫的緩存以一種"專有的二進制格式"存儲,包含未加密和加密的密碼庫數據,但這種專有格式的技術和安全細節沒有具體說明。未加密的數據包括金庫存儲的網址,但LastPass沒有說更多或在什麼情況下,目前還不清楚被盜的備份時間有多近。
不過,LastPass表示,客戶的密碼庫是加密的,隻能用客戶的主密碼解鎖,而主密碼隻有客戶自己知道。但該公司警告說,入侵事件背後的網絡犯罪分子"可能試圖使用蠻力來猜測你的主密碼,並解密他們拿走的保險庫數據副本。"
Toubba說,網絡犯罪分子還拿走大量的客戶數據,包括姓名、電子郵件地址、電話號碼和一些賬單信息。
密碼管理器生成的密碼都是長的、復雜的,並且對每個網站或服務都是獨一無二的。但是,像這樣的安全事件提醒我們,並不是所有的密碼管理器都是平等的,可以通過不同的方式被攻擊或破壞。鑒於每個人的威脅模式不同,沒有一個人會有與之相同的要求。
在像這樣罕見的糟糕事件中,我們在解析LastPass的數據泄露通知時闡明這一點--如果不良行為者能夠進入客戶的加密密碼庫,"他們隻需要受害者的主密碼"。一個暴露的或被破壞的密碼庫隻有在加密以及密碼被用來擾亂它的情況下才會顯得有用。
作為LastPass的客戶,你能做的最好的事情是將你目前的LastPass主密碼改為一個新的和獨特的密碼(或口令),並寫下來保存在一個安全的地方,這麼做以後,意味著您當前的LastPass庫是安全的。
如果您認為您的LastPass密碼庫可能受到影響,例如您的主密碼很弱,或者您在其他地方使用它,您現在就應該開始改變存儲在LastPass密碼庫中的密碼。從最關鍵的賬戶開始,如電子郵件賬戶、手機賬戶、銀行賬戶和社交媒體賬戶。
好消息是,任何受雙因素認證保護的賬戶都會使攻擊者在沒有第二個因素的情況下更難訪問你的賬戶,例如電話彈出或短信或電子郵件發送的代碼。這就是為什麼首先要保護那些第二因素的賬戶,如你的電子郵件賬戶和手機計劃賬戶。