QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

密码管理器 LastPass 遭到黑客攻击

  • 2015-06-29
  • 本文字数:1239 字

    阅读完需:约 4 分钟

LastPass 在 6 月 15 号发布声明称,在 2015 年 6 月 12 号,也就是周五那天,基于 Web 的 LastPass 密码管理服务被黑了。据官方消息,此次入侵致使“……LastPass 账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。”LastPass 称此次攻击为“可疑活动”,并宣称“……LastPass 的加密方法足以保护绝大多数的用户,对此我们抱有信心”。

LastPass 表示,公司使用了多种技术来保护认证哈希,包括“通过采用随机盐值并在客户端外的 PBKDF2-SHA256 服务器端实施 10 万个循环来强化认证哈希”。以上措施能防止被窃的哈希遭到快速攻击。LastPass 正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证,在新 IP 或新设备上登录的用户都需通过电子邮件来验证账号。同时 LastPass 还给所有的用户都发了一份邮件,要求用户更改主密码。

在发表于 2015 年 6 月 16 号的博文里,LastPass 官方解答了一些用户的质疑。LastPass 在该博文中声明,公司从未使用过未经加密的主密码,主密码除了需在服务器端执行前述密码强化处理以外,在发送至 LastPass 服务器之前就已在本地进行了加盐。LastPass 称,每个用户的主密码都有一个唯一的“依用户而定的”盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户“Disturbed”留言说:

“虽然 LastPass 是诚实的,但在我付钱请他们保护密码的隐秘性和安全性这件事上,他们没能办到。我感到不好受,很难再信任了,我不确定以后是否还会把数据保存在那里。LastPass 说用户库没被盗,可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次 LastPass 做得很对,承认了被黑,我可以理解,但我现在要为以后考虑考虑了,我能把我职业生涯的未来以及生计都押在 LastPass 上吗?现在我可不敢确定了。”

用户 Peter Birch 写道:

“我认为,在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上,LastPass 表现得很专业、坦率。有这么好的服务,我很乐意续订高级付费会员!”

用户 Rob Allen 表示大家应持有如下的观点:

“心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击,有些攻击还是国家级别的。在网上做的每一件事情,进入数字设备的每一个入口,通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在 LastPass 做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来,才能获得某种程度上的安全。”

查看英文原文: Password Manager LastPass Suffers Hacking Attack


感谢丁晓昀对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-06-29 06:452945
用户头像

发布了 30 篇内容, 共 89284 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

高并发场景下的库存管理,理论与实战能否兼得?

京东科技开发者

官宣|Apache Flink 1.20 发布公告

Apache Flink

flink 实时计算 官宣

Supersonic 发行逻辑:从原型到爆款,健康增长循环助力开发者走向成功

极客天地

观测云:零售业数据监控与分析的革新者

可观测技术

监控 零售

NFTScan 正式上线 Gravity NFTScan 浏览器和 NFT API 数据服务

NFT Research

NFT NFTScan

2024 年 7 月区块链游戏研报:市场波动与数据分化的挑战与机遇

Footprint Analytics

链游

逻辑数据平台,多源异构实时数据高效同步的新途径

Aloudata

Data Fabric 数据编织 逻辑数据平台

ChatGPT 人工智能助理 Assistant

霍格沃兹测试开发学社

低代码与软件定制开发的完美结合:生产管理软件的高效解决方案

天津汇柏科技有限公司

低代码 软件定制开发 生产管理软件

企业业务前端监控实践

京东科技开发者

Prometheus Exporter 在观测云中的应用与优势

可观测技术

#Prometheus

观测云:多云架构下的监控革新与效能提升

可观测技术

监控 多云

在国内怎么运营TikTok?试试云手机!

Ogcloud

云手机 海外云手机 tiktok云手机 云手机海外版 海外云手机推荐

解锁亚马逊商品数据:API获取商品列表信息

tbapi

亚马逊API 亚马逊商品数据采集 亚马逊商品列表接口

最佳实践:解读GaussDB(DWS) 统计信息自动收集方案

华为云开发者联盟

大数据 GaussDB(DWS) 企业号 8 月 PK 榜 2024企业号8月pk 实时查询

IoTDB组件AI Node发布9个月,如何使用你了解了吗?

Apache IoTDB

安全性和合规性:保障企业数据的安全

可观测技术

数据安全 数据合规

从困境到突破,EasyMR 集群迁移助力大数据底座信创国产化

袋鼠云数栈

集群架构 大数据存储 大数据计算与存储 大数据计算引擎 集群迁移

润开鸿“龙芯+OpenHarmony”开发平台DAYU431先锋派新品发布

坚果

OpenHarmony 润开鸿

腾讯云大数据 TBDS 参编信通院《数据库发展研究报告》,引领数据湖仓创新

腾讯云大数据

TBDS

继“蓝屏”事件之后,微软再次出现全球性宕机

我再BUG界嘎嘎乱杀

黑客 网络安全 安全 DDoS 网安

言犀智能体平台上线了!赶紧来试试!连接大模型与企业应用的“最后一公里”

京东科技开发者

最新进展!Intel 18A产品,成功点亮!

E科讯

Grafana 与观测云:无缝集成的监控可视化体验

可观测技术

数据可视化

将数据库系统实践转向 AI:使用生成式 AI 创建高效的开发和维护实践

哦豁完蛋了

AI Codec

SRE是新一代ITIL的革新者

雅菲奥朗

SRE ITIL SRE培训 SRE考试 SRE认证

碳视野|加快构建碳排放双控制度体系工作方案

AMT企源

数字化转型 碳中和 双碳 碳管理 碳核算

密码管理器LastPass遭到黑客攻击_安全_Jeff Martin_InfoQ精选文章