您当前所在位置 >>> 首页 >>> 业内新闻

基于Web的LastPass密码管理服务被黑客攻击

2015-6-30 LaneCat网猫

(LaneCat网猫QQ监控软件新闻) LastPass在6月15号发布声明称,在2015年6月12号,也就是周五那天,基于Web的LastPass密码管理服务被黑了。据官方消息,此次入侵致使"……LastPass账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。"LastPass称此次攻击为"可疑活动",并宣称"……LastPass的加密方法足以保护绝大多数的用户,对此我们抱有信心"。

LastPass表示,公司使用了多种技术来保护认证哈希,包括"通过采用随机盐值并在客户端外的PBKDF2-SHA256服务器端实施10万个循环来强化认证哈希"。以上措施能防止被窃的哈希遭到快速攻击。LastPass正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证,在新IP或新设备上登录的用户都需通过电子邮件来验证账号。同时LastPass还给所有的用户都发了一份邮件,要求用户更改主密码。

在发表于2015年6月16号的博文里,LastPass官方解答了一些用户的质疑。LastPass在该博文中声明,公司从未使用过未经加密的主密码,主密码除了需在服务器端执行前述密码强化处理以外,在发送至LastPass服务器之前就已在本地进行了加盐。LastPass称,每个用户的主密码都有一个唯一的"依用户而定的"盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户"Disturbed"留言说:

"虽然LastPass是诚实的,但在我付钱请他们保护密码的隐秘性和安全性这件事上,他们没能办到。我感到不好受,很难再信任了,我不确定以后是否还会把数据保存在那里。LastPass说用户库没被盗,可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次LastPass做得很对,承认了被黑,我可以理解,但我现在要为以后考虑考虑了,我能把我职业生涯的未来以及生计都押在LastPass上吗?现在我可不敢确定了。"

用户PeterBirch写道:

"我认为,在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上,LastPass表现得很专业、坦率。有这么好的服务,我很乐意续订高级付费会员!"

用户RobAllen表示大家应持有如下的观点:

"心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击,有些攻击还是国家级别的。在网上做的每一件事情,进入数字设备的每一个入口,通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在LastPass做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来,才能获得某种程度上的安全。"

LaneCat网猫推荐网络管理软件局域网管理软件下载上网行为管理软件局域网监控软件下载

上一篇:三星陷入手机漏洞风波用户信息可因此被泄露

下一篇:隐私泄露太可怕美国55%年轻人后悔使用社交网络