不知道各位差友還有沒有印象����。
【資料圖】
我們不久之前提到過�����,Chromium 系瀏覽器用了一種 “ 把鑰匙插在保險箱 ” 上的辦法來 “ 加密 ” 你保存的密碼�。
這就導(dǎo)致假如你電腦里沒有火絨一類的規(guī)則安全軟件的話���。����。。中了毒之后一秒就能被黑客盜走你的各種賬號密碼����。
當時我們給大家的建議之一就是把密碼導(dǎo)出到第三方密碼本軟件,他們更專業(yè)��,并且普遍實行嚴格的加密政策����。
想從他們那拿到儲存的賬號和密碼,會更加困難�。
但是。����。����。我們這臉被打的,好像有點兒快�?
上周,有三千多萬用戶的世界知名密碼管理工具 LastPass 直接整了個大活:
他們發(fā)現(xiàn)����,大量數(shù)據(jù)庫備份��,其中包括用戶數(shù)據(jù)以及儲存的用戶賬號密碼�,被人給摸走了�!
由于托尼在幾年前也使用過 LastPass ,所以第一時間去官網(wǎng)看了一下什么情況��。
一上來的消息就非常不妙:這次有很多明文的數(shù)據(jù)泄露出去了��。
啥意思呢�����?
好消息:你的密碼是加密存儲的�,問題不大。
壞消息:除了密碼沒問題���,其它的都有問題�,并且問題很大���!
因為 LastPass 并沒有給用戶的注冊郵箱和手機號���,賬單地址, IP 地址等大量關(guān)鍵隱私數(shù)據(jù)加密。
甚至連用戶保存賬號密碼的網(wǎng)址��,他們也沒有加密�。
我們來舉個例子,假設(shè)我們的小黑胖是個 LastPass 的重度用戶�。
黑客拿到這次泄露的數(shù)據(jù)之后,首先可以知道小黑胖的郵箱地址和手機號 —— 不過這些信息其它平臺也泄露個七七八八了��。
但和以往不同的是����,這次黑客還能知道小黑胖在哪些平臺注冊過賬號!?�?��!
這些信息樂觀估計���,可以用來發(fā)廣告——什么人在什么網(wǎng)站上有賬號,這可是 “ 用戶畫像 ” 數(shù)據(jù)?�?�!
而更陰暗一點����,則可以幫助詐騙或黑客集團 “ 精耕細作 ”,挑選受害者���。
比如這樣���。
話說到這里,肯定也會有小伙伴兒說了:
“ 我有足夠的防騙意識��,而且我也沒在不干凈的網(wǎng)站上注冊過賬號��,你說的這些情況我都不擔心�����?!?/p>
嗯。�。。那接下來這點����,你可能該坐不住了。�。����。
因為LastPass 的加密根本沒有他們說的那么無懈可擊����。
LastPass 要求用戶設(shè)置一個主密碼,用戶每次想用自己存的密碼���,都得把它輸一遍��。因此這個密碼必須非常難破解才夠安全��。
但他們曾在 2018 年被懷疑安全措施遠遠落后于時代�����,在那之后�, LastPass 改進了加密方式�,密鑰迭代增加到了 10 萬次,并且要求用戶至少采用 12 位的密碼����。
然而令人吐血的是,這次升級實際上并不是自動進行的���, LastPass 也沒有強制要求那些采用不安全密碼的用戶更換新的密碼�。
結(jié)果就是很多老用戶的賬戶既沒有被升級到新的加密方法��,也仍然在使用位數(shù)不夠或已經(jīng)泄露的舊密碼���。
托尼的舊賬戶就是其中之一�,這個 2014 或 2015 年( 記不太清 )創(chuàng)建的賬戶并沒有自動升級到新的加密方法�����,仍然在使用舊的 5000 次迭代加密�����。
這些不符合現(xiàn)代安全要求的密碼很可能會在幾小時到幾個月內(nèi)被黑客輕松批量破解���,之后的故事�。�。。估計你們就該猜到了�。
但是 LastPass 似乎是想淡化處理,直到今天都沒有通知這些用戶采取行動����。����。��。
比如我就沒收到任何通知�。
這搞不好會加速不知情用戶的賽博死亡。�。。
而且同樣有人指出���,即使采用了 LastPass 官方推薦的安全手段�,這次泄露仍然會給一些高價值人群帶來風險�。
由于用戶信息的泄露,黑客完全能夠知道哪些加密數(shù)據(jù)背后是 “ 有價值 ” 的 “ 客戶 ”�����。
他們?nèi)绻敢獬鰩资习偃f美元��,租上幾千塊顯卡來破解�����,配合上對用戶信息的了解( 大多數(shù)人不會采用完全隨機的密碼,總會有一些個人特色 )�,真的有可能在較短時間里試出密碼���。
總而言之����,不要相信 LastPass 這次公告中 “ 目前不需要執(zhí)行任何建議的操作 ” 的建議�����。
應(yīng)該立刻更改你的密碼���,只要它在 LastPass 里儲存過�。
同時���,托尼也對 LastPass 的專業(yè)程度表示懷疑�����。本該加密的用戶信息�����,為何是明文儲存的���?
按照宣傳����,數(shù)據(jù)在發(fā)送給 LastPass 之前已經(jīng)加密 ▼
如果黑客得到的信息里不包括明文����,那就沒法從中找出某個特定的人,更別說配合用戶信息來破解密碼了��。
我后來好好查了查 LastPass 歷來的安全事件����,結(jié)果發(fā)現(xiàn)他們家數(shù)據(jù)庫好像有點兒。��。����。漏風啊。��。。
哎���,不知道這次又會有多少用戶對密碼管理器失去信任��。
其實長久以來�,世界上就沒有絕對安全的一堵墻���, LastPass 的友商們也許做得比它更安全,但是只要靶子立在這里�����,也就必然有被攻破的那一天���。
估計有些小伙伴看完這條推送之后����,可能就要急吼吼去銷毀密碼管理器里的記錄����,然后回歸傳統(tǒng)的 “ 腦力 ” 記憶法了。
不過在那之前的最后����,對于有能力的小伙伴�����,我們可以試著自己用開源的 Bitwarden 或者 KeePass����,搭建一個屬于自己的獨立密碼管理器��。
不知道有沒有小伙伴對這個方案感興趣的�,搭過的差友也可以在評論區(qū)跟大家交流交流經(jīng)驗。
撰文:鶴然 編輯:面線
關(guān)鍵詞:
lastpass
數(shù)據(jù)泄露
營業(yè)執(zhí)照公示信息