频道栏目
首页 > 资讯 > 安全资讯 > 正文

基于Web的LastPass密码管理服务被黑客攻击

2015-06-30 09:32:56      个评论      
收藏   我要投稿
LastPass在6月15号发布声明称,在2015年6月12号,也就是周五那天,基于Web的LastPass密码管理服务被黑了。据官方消息,此次入侵致使“……LastPass账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。”LastPass称此次攻击为“可疑活动”,并宣称“……LastPass的加密方法足以保护绝大多数的用户,对此我们抱有信心”。

 

LastPass表示,公司使用了多种技术来保护认证哈希,包括“通过采用随机盐值并在客户端外的PBKDF2-SHA256服务器端实施10万个循环来强化认证哈希”。以上措施能防止被窃的哈希遭到快速攻击。LastPass正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证,在新IP或新设备上登录的用户都需通过电子邮件来验证账号。同时LastPass还给所有的用户都发了一份邮件,要求用户更改主密码。

 

在发表于2015年6月16号的博文里,LastPass官方解答了一些用户的质疑。LastPass在该博文中声明,公司从未使用过未经加密的主密码,主密码除了需在服务器端执行前述密码强化处理以外,在发送至LastPass服务器之前就已在本地进行了加盐。LastPass称,每个用户的主密码都有一个唯一的“依用户而定的”盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

 

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户“Disturbed”留言说:

 

“虽然LastPass是诚实的,但在我付钱请他们保护密码的隐秘性和安全性这件事上,他们没能办到。我感到不好受,很难再信任了,我不确定以后是否还会把数据保存在那里。LastPass说用户库没被盗,可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次LastPass做得很对,承认了被黑,我可以理解,但我现在要为以后考虑考虑了,我能把我职业生涯的未来以及生计都押在LastPass上吗?现在我可不敢确定了。”

 

用户Peter Birch写道:

 

“我认为,在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上,LastPass表现得很专业、坦率。有这么好的服务,我很乐意续订高级付费会员!”

 

用户Rob Allen表示大家应持有如下的观点:

 

“心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击,有些攻击还是国家级别的。在网上做的每一件事情,进入数字设备的每一个入口,通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在LastPass做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来,才能获得某种程度上的安全。”

上一篇:安全极客狂欢节 英雄帖广邀黑客挖掘智能汽车漏洞
下一篇:真实案例:一位网页开发者几乎毁掉一家小公司
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站