BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

密码管理器LastPass遭到黑客攻击

| 作者 Jeff Martin 关注 11 他的粉丝 ,译者 邱广 关注 0 他的粉丝 发布于 2015年6月29日. 估计阅读时间: 4 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

亲爱的读者:我们最近添加了一些个人消息定制功能,您只需选择感兴趣的技术主题,即可获取重要资讯的邮件和网页通知

LastPass在6月15号发布声明称,在2015年6月12号,也就是周五那天,基于Web的LastPass密码管理服务被黑了。据官方消息,此次入侵致使“……LastPass账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。”LastPass称此次攻击为“可疑活动”,并宣称“……LastPass的加密方法足以保护绝大多数的用户,对此我们抱有信心”。

LastPass表示,公司使用了多种技术来保护认证哈希,包括“通过采用随机盐值并在客户端外的PBKDF2-SHA256服务器端实施10万个循环来强化认证哈希”。以上措施能防止被窃的哈希遭到快速攻击。LastPass正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证,在新IP或新设备上登录的用户都需通过电子邮件来验证账号。同时LastPass还给所有的用户都发了一份邮件,要求用户更改主密码。

在发表于2015年6月16号的博文里,LastPass官方解答了一些用户的质疑。LastPass在该博文中声明,公司从未使用过未经加密的主密码,主密码除了需在服务器端执行前述密码强化处理以外,在发送至LastPass服务器之前就已在本地进行了加盐。LastPass称,每个用户的主密码都有一个唯一的“依用户而定的”盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户“Disturbed”留言说:

“虽然LastPass是诚实的,但在我付钱请他们保护密码的隐秘性和安全性这件事上,他们没能办到。我感到不好受,很难再信任了,我不确定以后是否还会把数据保存在那里。LastPass说用户库没被盗,可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次LastPass做得很对,承认了被黑,我可以理解,但我现在要为以后考虑考虑了,我能把我职业生涯的未来以及生计都押在LastPass上吗?现在我可不敢确定了。”

用户Peter Birch写道:

“我认为,在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上,LastPass表现得很专业、坦率。有这么好的服务,我很乐意续订高级付费会员!”

用户Rob Allen表示大家应持有如下的观点:

“心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击,有些攻击还是国家级别的。在网上做的每一件事情,进入数字设备的每一个入口,通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在LastPass做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来,才能获得某种程度上的安全。”

查看英文原文:Password Manager LastPass Suffers Hacking Attack


感谢丁晓昀对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT