密码管理器 LastPass 遭到黑客攻击

LastPass 在 6 月 15 号发布声明称，在 2015 年 6 月 12 号，也就是周五那天，基于 Web 的 LastPass 密码管理服务被黑了。据官方消息，此次入侵致使“……LastPass 账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。”LastPass 称此次攻击为“可疑活动”，并宣称“……LastPass 的加密方法足以保护绝大多数的用户，对此我们抱有信心”。

LastPass 表示，公司使用了多种技术来保护认证哈希，包括“通过采用随机盐值并在客户端外的 PBKDF2-SHA256 服务器端实施 10 万个循环来强化认证哈希”。以上措施能防止被窃的哈希遭到快速攻击。LastPass 正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证，在新 IP 或新设备上登录的用户都需通过电子邮件来验证账号。同时 LastPass 还给所有的用户都发了一份邮件，要求用户更改主密码。

在发表于 2015 年 6 月 16 号的博文里，LastPass 官方解答了一些用户的质疑。LastPass 在该博文中声明，公司从未使用过未经加密的主密码，主密码除了需在服务器端执行前述密码强化处理以外，在发送至 LastPass 服务器之前就已在本地进行了加盐。LastPass 称，每个用户的主密码都有一个唯一的“依用户而定的”盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户“Disturbed”留言说：

“虽然 LastPass 是诚实的，但在我付钱请他们保护密码的隐秘性和安全性这件事上，他们没能办到。我感到不好受，很难再信任了，我不确定以后是否还会把数据保存在那里。LastPass 说用户库没被盗，可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次 LastPass 做得很对，承认了被黑，我可以理解，但我现在要为以后考虑考虑了，我能把我职业生涯的未来以及生计都押在 LastPass 上吗？现在我可不敢确定了。”

用户 Peter Birch 写道：

“我认为，在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上，LastPass 表现得很专业、坦率。有这么好的服务，我很乐意续订高级付费会员！”

用户 Rob Allen 表示大家应持有如下的观点：

“心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击，有些攻击还是国家级别的。在网上做的每一件事情，进入数字设备的每一个入口，通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在 LastPass 做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来，才能获得某种程度上的安全。”

查看英文原文： Password Manager LastPass Suffers Hacking Attack

感谢丁晓昀对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入 InfoQ 读者交流群）。