不知道各位差友還有沒(méi)有印象��。
【資料圖】
我們不久之前提到過(guò)��,Chromium 系瀏覽器用了一種 “ 把鑰匙插在保險(xiǎn)箱 ” 上的辦法來(lái) “ 加密 ” 你保存的密碼��。
這就導(dǎo)致假如你電腦里沒(méi)有火絨一類(lèi)的規(guī)則安全軟件的話(huà)���。���。。中了毒之后一秒就能被黑客盜走你的各種賬號(hào)密碼���。
當(dāng)時(shí)我們給大家的建議之一就是把密碼導(dǎo)出到第三方密碼本軟件�����,他們更專(zhuān)業(yè)�����,并且普遍實(shí)行嚴(yán)格的加密政策����。
想從他們那拿到儲(chǔ)存的賬號(hào)和密碼,會(huì)更加困難��。
但是����。。��。我們這臉被打的�����,好像有點(diǎn)兒快��?
上周��,有三千多萬(wàn)用戶(hù)的世界知名密碼管理工具 LastPass 直接整了個(gè)大活:
他們發(fā)現(xiàn)�,大量數(shù)據(jù)庫(kù)備份,其中包括用戶(hù)數(shù)據(jù)以及儲(chǔ)存的用戶(hù)賬號(hào)密碼�,被人給摸走了!
由于托尼在幾年前也使用過(guò) LastPass ��,所以第一時(shí)間去官網(wǎng)看了一下什么情況���。
一上來(lái)的消息就非常不妙:這次有很多明文的數(shù)據(jù)泄露出去了。
啥意思呢?
好消息:你的密碼是加密存儲(chǔ)的���,問(wèn)題不大����。
壞消息:除了密碼沒(méi)問(wèn)題�����,其它的都有問(wèn)題��,并且問(wèn)題很大��!
因?yàn)?LastPass 并沒(méi)有給用戶(hù)的注冊(cè)郵箱和手機(jī)號(hào)��,賬單地址�, IP 地址等大量關(guān)鍵隱私數(shù)據(jù)加密。
甚至連用戶(hù)保存賬號(hào)密碼的網(wǎng)址��,他們也沒(méi)有加密���。
我們來(lái)舉個(gè)例子�����,假設(shè)我們的小黑胖是個(gè) LastPass 的重度用戶(hù)�����。
黑客拿到這次泄露的數(shù)據(jù)之后�,首先可以知道小黑胖的郵箱地址和手機(jī)號(hào) —— 不過(guò)這些信息其它平臺(tái)也泄露個(gè)七七八八了。
但和以往不同的是��,這次黑客還能知道小黑胖在哪些平臺(tái)注冊(cè)過(guò)賬號(hào)?�。����。?/strong>
這些信息樂(lè)觀估計(jì)���,可以用來(lái)發(fā)廣告——什么人在什么網(wǎng)站上有賬號(hào)�����,這可是 “ 用戶(hù)畫(huà)像 ” 數(shù)據(jù)?��?���!
而更陰暗一點(diǎn)�����,則可以幫助詐騙或黑客集團(tuán) “ 精耕細(xì)作 ”�,挑選受害者。
比如這樣����。
話(huà)說(shuō)到這里�,肯定也會(huì)有小伙伴兒說(shuō)了:
“ 我有足夠的防騙意識(shí),而且我也沒(méi)在不干凈的網(wǎng)站上注冊(cè)過(guò)賬號(hào)����,你說(shuō)的這些情況我都不擔(dān)心?!?/p>
嗯。����。。那接下來(lái)這點(diǎn)��,你可能該坐不住了。�。。
因?yàn)?/strong>LastPass 的加密根本沒(méi)有他們說(shuō)的那么無(wú)懈可擊��。
LastPass 要求用戶(hù)設(shè)置一個(gè)主密碼��,用戶(hù)每次想用自己存的密碼���,都得把它輸一遍��。因此這個(gè)密碼必須非常難破解才夠安全����。
但他們?cè)?2018 年被懷疑安全措施遠(yuǎn)遠(yuǎn)落后于時(shí)代�����,在那之后��, LastPass 改進(jìn)了加密方式�,密鑰迭代增加到了 10 萬(wàn)次,并且要求用戶(hù)至少采用 12 位的密碼��。
然而令人吐血的是,這次升級(jí)實(shí)際上并不是自動(dòng)進(jìn)行的��, LastPass 也沒(méi)有強(qiáng)制要求那些采用不安全密碼的用戶(hù)更換新的密碼��。
結(jié)果就是很多老用戶(hù)的賬戶(hù)既沒(méi)有被升級(jí)到新的加密方法���,也仍然在使用位數(shù)不夠或已經(jīng)泄露的舊密碼�。
托尼的舊賬戶(hù)就是其中之一�,這個(gè) 2014 或 2015 年( 記不太清 )創(chuàng)建的賬戶(hù)并沒(méi)有自動(dòng)升級(jí)到新的加密方法,仍然在使用舊的 5000 次迭代加密��。
這些不符合現(xiàn)代安全要求的密碼很可能會(huì)在幾小時(shí)到幾個(gè)月內(nèi)被黑客輕松批量破解�����,之后的故事����。�。。估計(jì)你們就該猜到了���。
但是 LastPass 似乎是想淡化處理���,直到今天都沒(méi)有通知這些用戶(hù)采取行動(dòng)���。。����。
比如我就沒(méi)收到任何通知。
這搞不好會(huì)加速不知情用戶(hù)的賽博死亡����。。���。
而且同樣有人指出����,即使采用了 LastPass 官方推薦的安全手段�����,這次泄露仍然會(huì)給一些高價(jià)值人群帶來(lái)風(fēng)險(xiǎn)�����。
由于用戶(hù)信息的泄露,黑客完全能夠知道哪些加密數(shù)據(jù)背后是 “ 有價(jià)值 ” 的 “ 客戶(hù) ”�����。
他們?nèi)绻敢獬鰩资习偃f(wàn)美元�,租上幾千塊顯卡來(lái)破解,配合上對(duì)用戶(hù)信息的了解( 大多數(shù)人不會(huì)采用完全隨機(jī)的密碼�,總會(huì)有一些個(gè)人特色 ),真的有可能在較短時(shí)間里試出密碼�����。
總而言之��,不要相信 LastPass 這次公告中 “ 目前不需要執(zhí)行任何建議的操作 ” 的建議���。
應(yīng)該立刻更改你的密碼�����,只要它在 LastPass 里儲(chǔ)存過(guò)。
同時(shí)�����,托尼也對(duì) LastPass 的專(zhuān)業(yè)程度表示懷疑。本該加密的用戶(hù)信息����,為何是明文儲(chǔ)存的?
按照宣傳�,數(shù)據(jù)在發(fā)送給 LastPass 之前已經(jīng)加密 ▼
如果黑客得到的信息里不包括明文,那就沒(méi)法從中找出某個(gè)特定的人���,更別說(shuō)配合用戶(hù)信息來(lái)破解密碼了����。
我后來(lái)好好查了查 LastPass 歷來(lái)的安全事件�,結(jié)果發(fā)現(xiàn)他們家數(shù)據(jù)庫(kù)好像有點(diǎn)兒。�����。���。漏風(fēng)啊��。���。�。
哎��,不知道這次又會(huì)有多少用戶(hù)對(duì)密碼管理器失去信任����。
其實(shí)長(zhǎng)久以來(lái),世界上就沒(méi)有絕對(duì)安全的一堵墻�����, LastPass 的友商們也許做得比它更安全����,但是只要靶子立在這里,也就必然有被攻破的那一天�����。
估計(jì)有些小伙伴看完這條推送之后��,可能就要急吼吼去銷(xiāo)毀密碼管理器里的記錄���,然后回歸傳統(tǒng)的 “ 腦力 ” 記憶法了。
不過(guò)在那之前的最后��,對(duì)于有能力的小伙伴,我們可以試著自己用開(kāi)源的 Bitwarden 或者 KeePass�,搭建一個(gè)屬于自己的獨(dú)立密碼管理器。
不知道有沒(méi)有小伙伴對(duì)這個(gè)方案感興趣的����,搭過(guò)的差友也可以在評(píng)論區(qū)跟大家交流交流經(jīng)驗(yàn)。
撰文:鶴然 編輯:面線
關(guān)鍵詞:
lastpass
數(shù)據(jù)泄露
營(yíng)業(yè)執(zhí)照公示信息