限时!亚马逊云科技云从业者认证考试五折,未过免费补考!更有好礼相送! 了解详情
写点什么

密码管理器 LastPass 遭到黑客攻击

  • 2015-06-29
  • 本文字数:1239 字

    阅读完需:约 4 分钟

LastPass 在 6 月 15 号发布声明称,在 2015 年 6 月 12 号,也就是周五那天,基于 Web 的 LastPass 密码管理服务被黑了。据官方消息,此次入侵致使“……LastPass 账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。”LastPass 称此次攻击为“可疑活动”,并宣称“……LastPass 的加密方法足以保护绝大多数的用户,对此我们抱有信心”。

LastPass 表示,公司使用了多种技术来保护认证哈希,包括“通过采用随机盐值并在客户端外的 PBKDF2-SHA256 服务器端实施 10 万个循环来强化认证哈希”。以上措施能防止被窃的哈希遭到快速攻击。LastPass 正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证,在新 IP 或新设备上登录的用户都需通过电子邮件来验证账号。同时 LastPass 还给所有的用户都发了一份邮件,要求用户更改主密码。

在发表于 2015 年 6 月 16 号的博文里,LastPass 官方解答了一些用户的质疑。LastPass 在该博文中声明,公司从未使用过未经加密的主密码,主密码除了需在服务器端执行前述密码强化处理以外,在发送至 LastPass 服务器之前就已在本地进行了加盐。LastPass 称,每个用户的主密码都有一个唯一的“依用户而定的”盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户“Disturbed”留言说:

“虽然 LastPass 是诚实的,但在我付钱请他们保护密码的隐秘性和安全性这件事上,他们没能办到。我感到不好受,很难再信任了,我不确定以后是否还会把数据保存在那里。LastPass 说用户库没被盗,可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次 LastPass 做得很对,承认了被黑,我可以理解,但我现在要为以后考虑考虑了,我能把我职业生涯的未来以及生计都押在 LastPass 上吗?现在我可不敢确定了。”

用户 Peter Birch 写道:

“我认为,在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上,LastPass 表现得很专业、坦率。有这么好的服务,我很乐意续订高级付费会员!”

用户 Rob Allen 表示大家应持有如下的观点:

“心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击,有些攻击还是国家级别的。在网上做的每一件事情,进入数字设备的每一个入口,通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在 LastPass 做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来,才能获得某种程度上的安全。”

查看英文原文: Password Manager LastPass Suffers Hacking Attack


感谢丁晓昀对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-06-29 06:452770
用户头像

发布了 30 篇内容, 共 83347 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

Rust 入门指南 (用 WASM 开发第一个 Web 页面)

王泰

rust Wasm WebAssenbly ​Rust

FinClip,助长智能电视更多想象空间

Geek_99967b

小程序

SRE运维解密-什么是SRE:DevOps模型的具体实践!

董哥的黑板报

DevOps 运维 云原生 SRE Google

系统管理-Linux系统文件查找

Albert Edison

Linux centos linux 文件权限控制 find 8月月更

IDEA 自动导入的配置(Auto import)

HoneyMoose

CentOS6搭建nginx+uwsgi+flask

haiger13

签约计划第三季

浅聊偏函数

掘金安东尼

JavaScript 函数式 8月月更

MySQL之my.cnf配置文件

TimeFriends

8月月更

Build QEMU RISC-V Linux

贾献华

8月月更

免费的公共WiFi不要乱连,遭中间人攻击了吧?

wljslmz

网络安全 签约计划第三季 8月月更 中间人攻击

带你造轮子,自定义一个随意拖拽可吸边的悬浮View组件

yechaoa

android 开源 签约计划第三季 8月月更

《福格行为模型》:如何养成好习惯?

郭明

读书笔记

关于技术学习的6个观点

郭明

技术人

Java 是否应该使用通配符导入( wildcard imports)

HoneyMoose

gulp

Jason199

js gulp 8月月更

【源码解析】MyBatis动态SQL

小明Java问道之路

源码分析 mybaits 8月月更

《The Google File System》新说

Joseph295

React的理念与V16的架构变化

郭明

React

【CSS】设置文本样式,包括文本颜色、对齐、缩进、行高等

翼同学

CSS HTML5, CSS3 8月月更

LeetCode第三题(Longest Substring Without Repeating Characters)三部曲之三:两次优化

程序员欣宸

Java LeetCode 8月月更

架构实战营模块三作业

zhihai.tu

Jina 实例秀|基于神经搜索的网络安全威胁检测(一)

Jina AI

神经网络架构搜索 Python.

FinClip,车载小程序新玩法

Geek_99967b

小程序

8月总结高频vue面试题

helloworld1024fd

Vue

AOSP CameraLatencyHistogram的原理与使用

桑榆

Android; 8月月更

【大厂面试真题解析】虾皮 Shopee 后端一面十四问

面试官问

面试 后端 面试题 Shopee 虾皮

一文带你了解 Java 中的构造器

踏雪痕

Java 构造函数 8月月更

再次搞定 Ali 云函数计算 FC

小鑫同学

签约计划第三季

6 个你必须明白 Vue3 的 ref 和 reactive 问题(入门篇)

爱游戏体育app官方下载

JavaScript 前端开发 vuejs 8月月更

第1章:初识数据库与MySQL----MySQL安装

乌龟哥哥

8月月更

开源一夏 | 查询分页不只有limit,这四种分页方法值得掌握

知识浅谈

开源 8月月更

密码管理器LastPass遭到黑客攻击_安全_Jeff Martin_InfoQ精选文章