HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

密码管理器 LastPass 遭到黑客攻击

  • 2015-06-29
  • 本文字数:1239 字

    阅读完需:约 4 分钟

LastPass 在 6 月 15 号发布声明称,在 2015 年 6 月 12 号,也就是周五那天,基于 Web 的 LastPass 密码管理服务被黑了。据官方消息,此次入侵致使“……LastPass 账号的电子邮箱地址、密码提醒、服务端的用户盐值以及认证哈希均遭到窃取。”LastPass 称此次攻击为“可疑活动”,并宣称“……LastPass 的加密方法足以保护绝大多数的用户,对此我们抱有信心”。

LastPass 表示,公司使用了多种技术来保护认证哈希,包括“通过采用随机盐值并在客户端外的 PBKDF2-SHA256 服务器端实施 10 万个循环来强化认证哈希”。以上措施能防止被窃的哈希遭到快速攻击。LastPass 正采取措施防止当前泄露的用户认证哈希被滥用。除非开启了多重认证,在新 IP 或新设备上登录的用户都需通过电子邮件来验证账号。同时 LastPass 还给所有的用户都发了一份邮件,要求用户更改主密码。

在发表于 2015 年 6 月 16 号的博文里,LastPass 官方解答了一些用户的质疑。LastPass 在该博文中声明,公司从未使用过未经加密的主密码,主密码除了需在服务器端执行前述密码强化处理以外,在发送至 LastPass 服务器之前就已在本地进行了加盐。LastPass 称,每个用户的主密码都有一个唯一的“依用户而定的”盐值。这意味着黑客需对每个用户进行独立攻击。该公司宣称用户数据库中信息尚未遭到破坏。

用户对本次被黑的反应清楚地显示了此次黑客攻击的敏感性。用户“Disturbed”留言说:

“虽然 LastPass 是诚实的,但在我付钱请他们保护密码的隐秘性和安全性这件事上,他们没能办到。我感到不好受,很难再信任了,我不确定以后是否还会把数据保存在那里。LastPass 说用户库没被盗,可就在上周四他还宣称没人能侵入系统并窃走数据呢……这次 LastPass 做得很对,承认了被黑,我可以理解,但我现在要为以后考虑考虑了,我能把我职业生涯的未来以及生计都押在 LastPass 上吗?现在我可不敢确定了。”

用户 Peter Birch 写道:

“我认为,在向用户解释发生了什么事、公司采取的措施以及被黑后对用户的影响这几个方面上,LastPass 表现得很专业、坦率。有这么好的服务,我很乐意续订高级付费会员!”

用户 Rob Allen 表示大家应持有如下的观点:

“心怀不满的用户或许应该断网……我们的网络随时都有可能被攻击,有些攻击还是国家级别的。在网上做的每一件事情,进入数字设备的每一个入口,通过网络连接的每一个事物都是脆弱的。你能做的最好的事情就是现在 LastPass 做的……抱怨者们只会让优秀的公司以后停止通报问题。这样会伤害到每一个人。其他公司可以根据已通报的问题来检视自己的防护系统……互联网上没有人可免于不被攻击。只有公开、透明地将问题报告出来,才能获得某种程度上的安全。”

查看英文原文: Password Manager LastPass Suffers Hacking Attack


感谢丁晓昀对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-06-29 06:452807
用户头像

发布了 30 篇内容, 共 84758 次阅读, 收获喜欢 1 次。

关注

评论

发布
暂无评论
发现更多内容

在腾讯从事Android 开发8年的老王,尽然在一轮裁员风暴中绊了跟头!

android 程序员 移动开发

太难为我这个应届生了,腾讯面试了8轮,终拿下腾讯Android测发岗offer

android 程序员 移动开发

好难过!八年深漂,搞Android开发要价50万(1),腾讯、网易必问的20道题Android面试题

android 程序员 移动开发

图文DEMO并茂讲解RecyclerView滑动时回收和复用触发的时机

android 程序员 移动开发

在面试中需要注意哪些问题你知道吗?(内含Android面试题

android 程序员 移动开发

基于-Kotlin-+-Netty-实现一个简单的-TCP-自定义协议,阿里技术专家深入讲解

android 程序员 移动开发

基于RocketMq的分布式事务解决方案(1),一线互联网移动架构师Android框架体系架构

android 程序员 移动开发

大厂背书有多爽?绩效太低跳槽意外收到多份小厂受邀,面试卡壳居然还卡进了复试

android 程序员 移动开发

大学毕业做音视频开发,月入20K,你呢,带你全面掌握高级知识点

android 程序员 移动开发

图片加载框架之图片加载框架选型(一)中篇,阿里P8大佬亲自教你

android 程序员 移动开发

女程序员的逆袭之路, 三面通过 15K,HR 说你只值 10K,写给正在求职的安卓开发

android 程序员 移动开发

在-Kotlin-中使用-Dagger-会遇到的陷阱和优化方法,android开发实例大全PDF

android 程序员 移动开发

在Android中集成Flutter的学习笔记,flutter登录跳转

android 程序员 移动开发

地狱难度!字节跳动Android高级岗:说说RecyclerView的回收复用机制

android 程序员 移动开发

坑!页面短视频加载又卡又慢?阿里P8大佬教你两套办法秒开短视频

android 程序员 移动开发

基于MediatorLiveData实现红点的统一管理,事件分发机制怎么回答

android 程序员 移动开发

备战秋招-阿里巴巴面试真题:-给你一个Demo-你如何快速定位ANR?

android 程序员 移动开发

复习2个月拿下美团Android岗offer,还有点不容易啊!,最新Android开发进阶

android 程序员 移动开发

大学做客户端竟连外包面试都面不过?客户端真的会两年内消失么?(1)

android 程序员 移动开发

大牛教你详解 Activity 的生命周期,kotlin反编译工具

android 程序员 移动开发

奔三女程序员不禁三思,“中年危机,kotlin常量

android 程序员 移动开发

在中国程序员是青春饭吗?,在阿里工作5年了

android 程序员 移动开发

基于RocketMq的分布式事务解决方案,android实战开发记账本app视频

android 程序员 移动开发

备忘录模式,震撼来袭免费下载

android 程序员 移动开发

大佬教你如何处理Android启动页黑屏,以及原理解析,android软件开发语言

android 程序员 移动开发

基于 Kotlin + Netty 实现一个简单的 TCP 自定义协议,kotlin扩展函数原理

android 程序员 移动开发

备战2021:阿里巴巴,字节跳动,阿里+头条+抖音+百度+蚂蚁+京东面经

android 程序员 移动开发

备战金九银十:BAT大厂最爱问的Android核心面试百题详细解析!

android 程序员 移动开发

大型项目必备IPC之其他IPC方式(二)(1),移动跨平台开发框架移动

android 程序员 移动开发

大学做客户端竟连外包面试都面不过?客户端真的会两年内消失么?

android 程序员 移动开发

大意了,又是 OOM ,Android 内存监控一定要注意这几点

android 程序员 移动开发

密码管理器LastPass遭到黑客攻击_安全_Jeff Martin_InfoQ精选文章