線上密碼管理能讓您在瀏覽每一個網站及服務時,自動填入個別密碼,使您的生活更加簡便。它是非常便利的工具,除非遭到駭客入侵。在此情況下,只要解開一個密碼,網路犯罪者能存取有價值的資訊,包含銀行交易憑證。
LassPass是廣泛使用的密碼管理器,最近被揭露有一個網路漏洞。攻擊者侵入使用者的電子郵件位址、密碼提示、各別使用者的擾亂值(salts)及驗證散列(hashes)數值。密碼本身並未受到破壞,因為該服務並未將密碼儲存於雲端。儘管如此,LassPass仍建議用戶更換LastPass主密碼,並啟動多重要素驗證。
讓我們對這家公司給予信任:當LassPass發現了漏洞,它立即發佈了公開警告。對駭客有利的是,大部分公司會試著隱藏存在漏洞的秘密,但他們並沒有這麼做。
儘管如此,漏洞的潛在後果似乎尚不明朗。LassPass的執行長及創辦人聲稱此意外事件將不會影響「絕大多數的用戶」。部分的研究人員也支持這個說法,聲明對於使用強密碼的用戶而言並無風險。
其他的研究人員則考量到此漏洞可能造成惡意行為針對LastPass用戶的新一波攻勢。駭客利用真實的電子郵件位址偽裝,能夠發動針對性的釣魚攻擊,騙取缺少的資料。例如,LastPass建議用戶更換他們的主密碼。
如何阻止網路犯罪者偽裝成官方寄送大量的詐騙信件給LastPass用戶呢?當大眾收到由「開發者」寄送其中含有警告及建議,看似正常的信件時,他們很容易就會依照網頁連結更換他們的主密碼,直接把主密碼送到網路犯罪者手上。
對於LastPass用戶,以下是我們的建議:
- 依照官網的建議:更改您的主密碼,並啟動多重要素驗證。若您在其他如社群網站及電子郵件網站也啟用此功能,絕對是一件好事。
- 請勿直接點擊聲稱由LastPass寄發電子郵件內的網頁連結。這些信件有可能是假的,在您的瀏覽器上的網址列手動輸入網址較佳。
- 確保您不在其他的網站,使用同一組主密碼。最好是利用不同的密碼登入不同的服務。
這不是LastPass頭一次面臨安全問題。去年夏季加州柏克萊大學揭露了五個密碼管理服務商存在的安全漏洞,LastPass亦在此列。其他四家廠商分別為RoboForm、My1Login、PasswordBox及NeedMyPassword。
您或許了解,世界上沒有完美的防護方案。公司需要冒著損失客戶的風險,勇於承擔責任,並揭發違失事件。某些LastPass的客戶會轉換至其他的服務商,而其他的客戶不管發生什麼事,仍會維持其產品忠誠度。
若您仍然考慮更換新的密碼管理廠商,我們不禁要推薦一個受到大家肯定的-卡巴斯基密碼管理器。我們不儲存使用者的密碼,故無法由卡巴斯基的伺服器竊得密碼資料。
原文出處:https://blog.kaspersky.com/lastpass-calls-for-master-password-reset/
作者:Marvin the Robot
留言列表
