这一天以Y结尾,这意味着更多关于安全漏洞的消息。周四,Lastpass通知用户其开发环境被渗透-但也迅速向客户保证密码库和客户数据是安全的。
在通过电子邮件发送并发布在其博客上的声明中,该公司将根本问题描述为一个被泄露的开发者账户,通过这个账户,LastPass的部分源代码和专有技术信息被窃取。目前,LastPass表示已采取措施隔离和缓解这一问题,并聘请了一个外部网络安全和法医团队,调查仍在进行中。目前没有建议用户更改他们的主密码。
这并不是LastPass第一次报告其服务遭到黑客攻击。2015年,该公司经历了用户帐户电子邮件地址的未经授权访问、密码提醒和身份验证哈希。其他漏洞也被曝光–谷歌零项目研究员塔维斯·奥曼迪在2016年指出,他发现LastPass的服务存在问题,2017年,有新闻爆出浏览器扩展漏洞,允许网站窃取密码。2019年,奥曼底还发现了另一个浏览器扩展漏洞,该漏洞使上次使用的密码有可能被泄露。
如果你目前是LastPass的用户,你可能会对这条消息感到紧张,尽管安全领域的知名人物反应平静。LastPass的日常体验确实赢得了赞誉,包括我们对付费密码管理员的最高推荐,但安全漏洞甚至通信故障(如去年12月意外向未受凭据填充攻击影响的客户发送安全警报电子邮件)可能会削弱人们对这项服务的信心。
如果你不完全信任LastPass的保证,并担心你的密码库的完整性,你可以采取几种方法来保护你的密码。最简单的主动步骤是更改您的LastPass主密码。您还应确保启用了双因素身份验证。如果你想进一步锁定,使用硬件设备(如Yubikey),而不是基于软件的令牌生成器,如Authy或谷歌验证器。您需要一个备份密钥,以防您的主密钥丢失、被盗或损坏。
当然,核心选项是切换到完全不同的服务,如Bitwarden、Dashlane或1Password。(Bitwarden有一个慷慨的免费计划,如果你想先试驾的话。)您甚至可以使用仅限本地数据库的密码管理器,如KeePass,以避免基于云的服务的更大漏洞。(你可以在我们收集的最好的免费密码管理器中阅读更多关于KeePass的信息。)
无论如何,都不要放弃密码管理器的想法。它们是在线安全的关键部分,即使它们让你感到不舒服,你也可以找到让它们为你工作的方法。
– – END – –
– – 转载请声明来源:www.lanpanpan.com – –