專門管理用戶各式密碼的 LastPass 在上周五發現遭到駭客入侵,除了立即封鎖可疑活動的存取之外,LastPass 調查發現駭客取得用戶的電子郵件帳號、密碼提醒字串、驗證雜湊,以及雜湊中的「鹽巴」(salts,在密碼中所插入的特定字串),但用戶帳號或是加密的密碼資料庫並未被存取。
LastPass 可協助用戶產生安全的新密碼、記錄各式服務的密碼及自動填入密碼等,使用者唯一需要記住的是用來登入 LastPass 服務的「主密碼」(master password)。雖然並無證據顯示 LastPass 用戶的主要密碼外洩,但駭客仍有機會經由所竊得的雜湊與「鹽巴」找出密碼。
LastPass 共同創辦人暨執行長 Joe
Siegrist 指出,相信 LastPass
所採用的加密措施足以保護大多數的使用者,除了透過隨機的加鹽程式來強化驗證雜湊外,不論是在客戶端或伺服器端都執行了大量的密碼強化運算 (PBKDF2-SHA256),代表駭客很難快速攻擊偷來的雜湊碼。
為了預防萬一,LastPass 要求未採用多因素認證的用戶在以新的裝置或是 IP 位址登入時,必須透過電子郵件進行帳號驗證,也提醒用戶更新他們的主要密碼。
Siegrist 表示,由於駭客並未取得 LastPass
用戶的加密資料,因此使用者不需變更儲存在 LastPass
密碼資料庫中的各式密碼。LastPass 在 2011 年也曾發生疑似駭客入侵的事件,當時 LastPass 僅發現異常的流量,並未確認任何資料的外洩,但採取了最謹慎的措施,要求用戶更新主要密碼。
資料來源:www.ithome.com.tw/news/96780
正新電腦 www.pronew.com.tw 04-2473-8309
#密碼管理 #LastPass #駭客入侵 #密碼提醒字串 #驗證雜湊 #雜湊鹽巴salts #密碼資料庫 #多因素認證 #異常帳號登入 #駭客竊取
文章定位: