6月16日,Lastpass官方周一发出警告称,黑客攻破了该公司运行密码管理服务的服务器。这是Lastpass在四年内的第二次发出这样的警告。
该公司CEO乔·西格里斯特(Joe Siegrist)在Lastpass网站发文称,这些身份不明的攻击者窃取了经过哈希加密的用户密码、加密盐、密码提醒和邮箱地址。不过,他强调没有证据证明攻击者能够打开加密锁定的用于储存明文密码的用户信息保险库,因为解开保险库的主密码受极其缓慢的哈希机制保。
西格里斯特说:“我们确信,我们的加密措施足以保障绝大多数用户的信息不泄露。Lastpass使用了随机盐和其他加密方式加强了认证哈希。黑客很难在短时间内解开密码。”
不过,为了预防万一,Lastpass还是建议,该服务的所有用户都需要设置新的主密码,而如果用户已开启两步验证功能,那么所有从新设备或新IP地址登录帐号的用户都需要通过电子邮件验证身份。
如果用户采用较弱主密码,重置主密码尤为重要,因为这类的密码更容易被黑客破解。如果用户还将这一主密码用于其他多个网站的帐号,那么也应当在相应网站上修改。
这并不是LastPass首次遭到黑客攻击。2011年,该公司也曾遭到过一次攻击,不过当时的情况有所不同。LastPass知道有哪些信息丢失,随后加强了密码安全技术。
LastPass帮助用户将网站的密码账户保存到个人账号上,随后自动登录这些网站,因此用户可以不用记忆多个单独的账号和密码。LastPass还提供了密码生成工具,用于生成复杂密码串,而用户只需记住主密码即可使用该服务。不过,这样做的安全性取决于LastPass的保护措施是否能够被黑客破解。
LastPass是当前最热门的密码保管服务之一,这主要是由于该公司的服务免费。
