【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

密码管理器 LastPass 遭到黑客攻击

  • 2015-06-29
  • 本文字数:1239 字

    阅读完需:约 4 分钟

LastPass 在 6 月 15 号发布声明称,在 2015 年 6 月 12 号,也就是周五那天,基于 Web 的 LastPass 密码管理服务被黑了。据官方消息,此次入侵致使“……LastPass 账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。”LastPass 称此次攻击为“可疑活动”,并宣称“……LastPass 的加密方法足以保护绝大多数的用户,对此我们抱有信心”。

LastPass 表示,公司使用了多种技术来保护认证哈希,包括“通过采用随机盐值并在客户端外的 PBKDF2-SHA256 服务器端实施 10 万个循环来强化认证哈希”。以上措施能防止被窃的哈希遭到快速攻击。LastPass 正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证,在新 IP 或新设备上登录的用户都需通过电子邮件来验证账号。同时 LastPass 还给所有的用户都发了一份邮件,要求用户更改主密码。

在发表于 2015 年 6 月 16 号的博文里,LastPass 官方解答了一些用户的质疑。LastPass 在该博文中声明,公司从未使用过未经加密的主密码,主密码除了需在服务器端执行前述密码强化处理以外,在发送至 LastPass 服务器之前就已在本地进行了加盐。LastPass 称,每个用户的主密码都有一个唯一的“依用户而定的”盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户“Disturbed”留言说:

“虽然 LastPass 是诚实的,但在我付钱请他们保护密码的隐秘性和安全性这件事上,他们没能办到。我感到不好受,很难再信任了,我不确定以后是否还会把数据保存在那里。LastPass 说用户库没被盗,可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次 LastPass 做得很对,承认了被黑,我可以理解,但我现在要为以后考虑考虑了,我能把我职业生涯的未来以及生计都押在 LastPass 上吗?现在我可不敢确定了。”

用户 Peter Birch 写道:

“我认为,在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上,LastPass 表现得很专业、坦率。有这么好的服务,我很乐意续订高级付费会员!”

用户 Rob Allen 表示大家应持有如下的观点:

“心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击,有些攻击还是国家级别的。在网上做的每一件事情,进入数字设备的每一个入口,通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在 LastPass 做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来,才能获得某种程度上的安全。”

查看英文原文: Password Manager LastPass Suffers Hacking Attack


感谢丁晓昀对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-06-29 06:452702
用户头像

发布了 30 篇内容, 共 81262 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

LeetCode题解:50. Pow(x, n),暴力法,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

架构师训练营培训第一周总结

lakers

极客大学架构师训练营

发布3个月获得5K Star的Luckysheet - 基于MIT协议的开源电子表格

奇异石榴果

Java 开源 大前端 Excel html/css

项目吐槽之需求分析二

Geek_XOXO

项目管理 pmp 项目实战

作为一名Java程序员,技术栈的广度深度都不够还想要高薪?请先把这些技术掌握再说。

Java架构之路

Java 程序员 架构 面试 编程语言

网易:Flink + Iceberg 数据湖探索与实践

Apache Flink

flink 数据湖

了解HashMap数据结构,超详细!

程序员的时光

面试 hashmap HashMap底层原理

勾魂!在Github白嫖左程云1470页数据结构与算法+视频

996小迁

Java 架构 面试

程序员喜欢的 5 款最佳最牛代码比较工具

程序员生活志

编程 工具

不会java的人能不能读《Head First设计模式》?

Nydia

在线EXCEL编辑器-Luckysheet

奇异石榴果

Java 开源 Excel bigtable js

架构师训练营第一周作业

爱码士

架构设计

大数据上手实战!训练营“9营齐开”第二季限时免费报名啦

Apache Flink

大数据

Java高并发编程的一本百科全书《Java高并发编程详解:多线程与架构设计》,把Java语言中最为晦涩的知识点都详解出来了!

Java架构之路

Java 程序员 架构 并发编程 编程语言

第五周学习代码技术选型总结

三板斧

极客大学架构师训练营

架构师训练营 1 期 - 第五周 - 技术选型

三板斧

极客大学架构师训练营

极客时间架构师训练营第一周学习总结

爱码士

课程总结

技术都是相通的

小黄鱼

极客大学架构师训练营

为什么说容器的崛起预示着云原生时代到来?

华为云开发者联盟

容器 云原生

技术体系的构成

凌晞

技术 技术管理 研发体系

两个程序员老友的会面

Philips

敏捷开发

2020,国产数据库崭露峥嵘的发轫之年

墨天轮

数据库 阿里云 华为云 SQL优化 热门活动

MyBatis-技术专题-动态SQL

洛神灬殇

1024!奈学教育致敬程序员3+2战略发布会重磅来袭

古月木易

程序员 奈学教育

普通人如何站在时代风口学好AI?这是我看过最好的答案

华为云开发者联盟

AI 算法

想自己写框架?不会写Java注解可不行

Java架构师迁哥

项目吐槽之需求分析一

Geek_XOXO

项目管理 pmp

华为云如何赋能无人车飞驰?从这群AI热血少年谈起

华为云开发者联盟

人工智能 无人驾驶

Spring 5.2.7和SpringBoot 2.3.3中文翻译发布啦!!!

青年IT男

spring springboot

【API进阶之路】研发需求突增3倍,测试团队集体闹离职

华为云开发者联盟

软件开发 开发 开发测试

MyBatis-技术专题-拦截器介绍

洛神灬殇

密码管理器LastPass遭到黑客攻击_安全_Jeff Martin_InfoQ精选文章