我们报告了另一起有关 LastPass 密码管理器的事件,其中第三方获得了系统访问权限。目前尚不清楚攻击者访问了哪些数据,LastPass 也没有对此发表任何评论。
目前正在与 LastPass 沟通此事。该公司承诺保证所有密码的安全,现在表示黑客能够“复制客户保管库数据的备份”。因此,从理论上讲,如果黑客能够破解密码,他们就可以访问所有这些密码。复制密码库:
攻击者还能够从加密的存储容器中复制客户保管库数据的备份副本。该备份副本以专有的二进制格式存储,其中包含未加密的数据(例如网站 URL)和完全加密的敏感字段(例如网站用户名和密码)。保护输入表单的注释和数据。这些加密字段受到 256 位 AES 加密的保护,并且只能使用零知识架构从每个用户的主密码派生的唯一加密密钥进行解密。 LastPass 永远不会知道您的主密码,LastPass 也不会存储或管理您的主密码。
这意味着攻击者在技术上可以尝试闯入保险箱或尝试以某种方式(例如通过电子邮件或电话)从客户那里获取密码。您只需要知道 LastPass 不会联系客户询问他们的密码。
作为一项安全措施,如果您使用弱主密码,请考虑更改您所使用的服务的密码,以最大限度地降低风险。您可能会被邀请在假期这样做。替代方案包括 1Password、Enpass、Bitwarden、KeePass 和衍生产品。
