在線密碼管理器LastPass被黑客攻破

LastPass的網絡上周五被黑客攻破，攻擊者可能竊取了用戶帳號的電子郵件地址、密碼提醒信息，以及用于認證的哈希信息。根據這些信息，攻擊者有可能猜出較弱的用戶主密碼。LastPass聲稱，雖然加密的用戶數據庫在攻擊中被盜走，但并沒有跡象表明用戶賬號遭到不法分子的登入。

據LastPass官方博客介紹，上周五LastPass的網絡被黑客攻破，該公司的信息安全團隊在對“可疑活動”進行調查后發(fā)現(xiàn)，沒有任何證據表明攻擊者從用戶密碼庫中竊取了加密數據，也沒有獲取用戶的帳戶信息。

不過，攻擊者可能竊取了用戶帳號的電子郵件地址、密碼提醒信息，以及用于認證的哈希信息和個人Salt信息。根據這些信息，攻擊者有可能猜出較弱的用戶主密碼。

LastPass聲稱，對自己的加密措施非常有信心，它足夠保護大部分的用戶。LastPass的哈希認證采用隨機因子以及服務器端的PBKDF2-SHA256算法進行了10萬個循環(huán)，而并非在客戶端執(zhí)行，這使得根據被盜的哈希值進行解密的難度大為增加，也就是說，被盜走的哈希會遭到攻擊，但不會那么快。但是，根據這些信息，攻擊者有可能猜出較弱的用戶主密碼。

對于這次安全事故，LassPass已經向所有用戶發(fā)送了郵件通知，LastPass建議，該服務的所有用戶都需要設置新的主密碼，此外，所有從新設備或新IP地址登錄帳號的用戶都需要通過電子郵件去驗證身份。如果用戶在其他網站里使用了和LassPass主密碼相同的密碼，應該也將這些密碼進行修改。

由于用戶的密碼庫并沒有被盜取，因此用戶沒有必要修改LassPass密碼庫中的密碼，向往常一樣，LassPass強烈建議用戶開啟兩步驗證功能，為LassPass賬戶提供額外的保護。

LastPass這次安全事故對于一個專門從事于安全領域的公司來說是致命一擊，最具諷刺意味的是，專門從事密碼保護服務卻被黑客來了個一鍋端，用戶將自己最重要的密碼保存在這個網站上，結果反而增加了安全隱患，那么用戶就只能放棄這個服務，或許，將最重要的密碼（例如網銀和支付密碼）記在腦子里，可能才是最安全的。

相對于本地密碼管理來說，LastPass的主要特點是方便，多臺電腦和手機可以同步密碼，用起來方便，但這也帶來服務器端系統(tǒng)被攻擊的可能性，建議使用LastPass一定要開兩步認證，網銀和支付密碼不要放在LastPass里。

LastPass是當前最熱門的密碼保管服務之一，免費為用戶保存多個網站的密碼，做到自動登錄各個網站。