免费下载案例集|20+数字化领先企业人才培养实践经验 了解详情
写点什么

密码管理器 LastPass 遭到黑客攻击

  • 2015-06-29
  • 本文字数:1239 字

    阅读完需:约 4 分钟

LastPass 在 6 月 15 号发布声明称,在 2015 年 6 月 12 号,也就是周五那天,基于 Web 的 LastPass 密码管理服务被黑了。据官方消息,此次入侵致使“……LastPass 账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。”LastPass 称此次攻击为“可疑活动”,并宣称“……LastPass 的加密方法足以保护绝大多数的用户,对此我们抱有信心”。

LastPass 表示,公司使用了多种技术来保护认证哈希,包括“通过采用随机盐值并在客户端外的 PBKDF2-SHA256 服务器端实施 10 万个循环来强化认证哈希”。以上措施能防止被窃的哈希遭到快速攻击。LastPass 正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证,在新 IP 或新设备上登录的用户都需通过电子邮件来验证账号。同时 LastPass 还给所有的用户都发了一份邮件,要求用户更改主密码。

在发表于 2015 年 6 月 16 号的博文里,LastPass 官方解答了一些用户的质疑。LastPass 在该博文中声明,公司从未使用过未经加密的主密码,主密码除了需在服务器端执行前述密码强化处理以外,在发送至 LastPass 服务器之前就已在本地进行了加盐。LastPass 称,每个用户的主密码都有一个唯一的“依用户而定的”盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户“Disturbed”留言说:

“虽然 LastPass 是诚实的,但在我付钱请他们保护密码的隐秘性和安全性这件事上,他们没能办到。我感到不好受,很难再信任了,我不确定以后是否还会把数据保存在那里。LastPass 说用户库没被盗,可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次 LastPass 做得很对,承认了被黑,我可以理解,但我现在要为以后考虑考虑了,我能把我职业生涯的未来以及生计都押在 LastPass 上吗?现在我可不敢确定了。”

用户 Peter Birch 写道:

“我认为,在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上,LastPass 表现得很专业、坦率。有这么好的服务,我很乐意续订高级付费会员!”

用户 Rob Allen 表示大家应持有如下的观点:

“心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击,有些攻击还是国家级别的。在网上做的每一件事情,进入数字设备的每一个入口,通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在 LastPass 做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来,才能获得某种程度上的安全。”

查看英文原文: Password Manager LastPass Suffers Hacking Attack


感谢丁晓昀对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-06-29 06:452796
用户头像

发布了 30 篇内容, 共 84411 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

Apache Kafka入门级教程原创

宋小生

kafka Kafka Producer

泛娱乐社交出海解决方案技术实践

网易智企

即时通讯IM 音视频通话

一文带你掌握物联网Mqtt网关搭建背后的技术原理

华为云开发者联盟

后端 物联网 华为云 企业号 2 月 PK 榜 华为云开发者联盟

2013年的技术方向

且行且珍惜

2023计划

学术加油站|HIST,面向海量数据的学习型多维直方图

OceanBase 数据库

数据库 oceanbase

JavaScript使用URL用来解析处理URL

ModStart

Flomesh Ingress 使用实践(一)基础功能

Flomesh

负载均衡 API ingress Pipy

2023年主流混合云管理平台排名榜单分享

行云管家

混合云 云管平台 云管理

一文讲尽Thread类的源码精髓

华为云开发者联盟

开发 华为云 企业号 2 月 PK 榜 华为云开发者联盟

橡树黑卡携手观测云,实现会员体系业务可观测

观测云

可观测性 可观测 观测云 可观测性用观测云

云原生场景下实现编译加速

京东科技开发者

Java golang 缓存 编译 企业号 2 月 PK 榜

TiDB x 阿里云丨最长 30 天,最高节省 ¥33,000,免费试用云数据库 TiDB 的机会来啦!

PingCAP

TiDB

探讨:30岁转行入IT,晚吗

MavenTalker

转型 职业发展 职业道路 个人思考

Canvas 模型服务,已支持直接使用“组件设置”作为模型参数输入|ModelWhale 版本更新

ModelWhale

人工智能 机器学习 数据分析 团队协同 编程建模

总结了6种卷积神经网络压缩方法

华为云开发者联盟

人工智能 华为云 企业号 2 月 PK 榜 华为云开发者联盟

打通对账的最后一公里——对账管理平台

元年技术洞察

数字化转型 对账 对账系统 方舟平台

不愧是阿里内部都在强力进阶学习springboot实战派文档,这细节讲解,神了!

架构师之道

Java 面试 架构师 springboot

便捷模型迭代优化,算法模型支持更新到已部署服务、已有项目|ModelWhale 版本更新

ModelWhale

人工智能 机器学习 数据分析 团队协同 编程建模

一种基于图片搜索视频的方案

京东科技开发者

搜索 视频 图像 企业号 2 月 PK 榜 商品搜索

为什么你该试试 Sccache?

Databend

前端培训中怎么提升技术水平?

小谷哥

零基础转行大数据,学习应该注意什么?

小谷哥

前端编程培训学习好就业吗?

小谷哥

云小课|创建DDS只读节点,轻松应对业务高峰

华为云开发者联盟

数据库 后端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

云原生数据库如何设计运维系统?

Greptime 格睿科技

数据库 运维 云原生

java培训班怎样才能找到工作

小谷哥

大数据开发培训哪家比较好?

小谷哥

智能学习灯赛道竞争日趋激烈 火山引擎VeDI用数据技术助力打造新优势

字节跳动数据平台

大数据 增长 用户分析

StarRocks荣获2022年度最具潜力数据库奖

StarRocks

数据库 大数据

服务器双机热备软件是什么?有什么作用?有哪些?

行云管家

高可用 服务器 双机热备 服务器双机热备

好友靠JVM成功进入阿里,阿里大佬力荐的JVM笔记到底有什么魔力?

小小怪下士

Java 程序员 面试 JVM 阿里

密码管理器LastPass遭到黑客攻击_安全_Jeff Martin_InfoQ精选文章