領先的密碼管理器之一 LastPass 剛剛提醒用戶其基礎設施已被駭客攻擊。“我們想通知我們的社區,我們的團隊在周五檢測到並立即阻止了我們網路上的可疑活動”LastPass 執行長 Joe Siegrist 在一份報告中解釋道部落格文章。用戶也收到了一封電子郵件通知。
破解密碼管理器的基礎有點像是闖入至聖所,因為它是使用者以加密形式儲存所有憑證的地方。因此,由此造成的損害可能是巨大的。然而,就 LastPass 而言,風險似乎有限。據出版商稱,駭客無法存取加密的用戶資料。因此他們的密碼沒有被偷。“您無需更改 LastPass 保管庫中儲存的網站的密碼”,向喬·西格里斯特保證。
另一方面,駭客可以存取某些身份數據,例如“LastPass 帳戶電子郵件地址、密碼提示、加鹽和身份驗證雜湊”。換句話說,攻擊者設法獲得了主密碼的指紋,從而允許用戶存取他們的帳戶。這意味著什麼?
LastPass 不保存任何主密碼,而只保存其透過雜湊演算法衍生的密碼,即 PBKDF2。這樣做的方式是從數學上很難從“哈希”中找到密碼。更是如此,因為 LastPass 將稱為「鹽」的獨特程式碼合併到該演算法中,並對其應用 100,000 次迭代,這使得計算更加複雜。因此,駭客從指紋中找到主密碼的可能性很小。
也許更惱人的是,駭客得到了密碼線索。這些提醒可以讓使用者在忘記主密碼時找到他們的主密碼。如果攻擊者很了解他的受害者,他可以利用這些資訊來猜測他的密碼。該索引仍然需要足夠明確。簡而言之,風險因此也是有限的。
為了避免任何洩露,發布者仍然建議其用戶更改主密碼並採用雙重認證。這樣的話,海盜就沒有機會了。
另請閱讀:
今年最糟糕的密碼是…,於 20/01/2015
資料來源:
