LastPass是一款 Freemium 的跨平台在线密码管理工具。旨在通过将用户的密码集中在云端以解决密码疲劳。LastPass 使用 Web 界面为基础,但还提供使用于许多现代浏览器的插件和小书签。

LastPass 官方今日发布公告称,上周五团队发现并阻止了可疑活动。经过调查发现,没有证据显示加密后的用户数据被窃取,也没有证据显示 LastPass 用户账号被读取。不过调查显示,LastPass 用户的邮件地址、密码提示信息、用户盐信息,以及认证的哈希信息被泄露了。

但 LastPass 声称,“我们相信,我们的加密措施足以保护绝大数用户。LastPass 的哈希认证采用随机因子以及服务器端的 PBKDF2-SHA256 算法进行了 10 万次循环,而并非在客户端执行,这种加强措施减缓了被盗哈希信息被攻破的速度。”

尽管如此,LastPass 声称还在采取其他措施,来保障用户数据的安全。另外 LastPass 也向所有用户发了邮件通知,提醒用户从新设备或新 IP 地址上通过 Email 验证账号,除非用户已经启用多重身份验证。还有一个预防措施,就是更换主密码。如果你的主密码也在其他网站用了,或者你的主密码强度很弱,赶紧修改。

小编想,LastPass 用户最关心的是,用 LastPass 保存的那些密码,是不是要修改?

LastPass 称,加密后的用户数据未被窃取,用户可以不用修改。

 

HN 的讨论:https://news.ycombinator.com/item?id=9721212

 

10 收藏


直接登录
最新评论
  • 伯小乐 小编 2015/06/16

    HN 网友 jjarmoc 的评论:

    虽然 LastPass 的反应看着不错,但我发现他们的整个服务超出了我的风险承受能力。

    如果你不用密码管理器,你会有 99 个问题,但是你把所有敏感信息集中存储在一个地方,那这个地方就是一个巨大的(攻击)目标了,因为还有成千上万的人和你一样。

    用密码管理器(是个好主意),然后把你所有密码存储在没法控制的第三方服务,这看起来就有天生的风险。LastPass 是个巨大目标,我相信他们一般会采取合理的安全措施,但被泄露的风险,远远高于一个独立的加密数据库。用密码管理器,请保持离线,不要和其他的数据汇集到一起。

    不过我强烈地认为,“Cloud/云端”领域所带来的便利,超过了其带来的风险。

  • Alick 码农-拉大东 2015/06/16

    看到这个新闻立马去 1Password 官网瞧了一下,丫居然打折了,哥可是入了全平台版本,这个时候你丫打折,哭晕在键盘前…………

推荐关注