有什么比被遗忘的密码更糟糕的?一个被盗的。
密码管理器LastPass本周在热水中,因为在其网络浏览器扩展程序中发现了安全缺陷。 3月26日,Google安全研究人员Tavis Ormandy在Google Chrome中发现的LastPass暴露了客户端漏洞。 LastPass承认了这个问题,并发誓要解决问题。
网络安全一直是今年3月的热门话题。在大规模的情况下,Wikileaks泄露了有关中央情报局间谍活动的文件。从较小程度上讲,Google Allo被发现揭示您最近的浏览历史。
一次“独特而高度的”攻击
Google项目零安全研究人员Tavis Ormandy揭示通过Twitter,他在LastPass浏览器扩展程序中发现的客户端漏洞并向公司发送了报告。根据零项目的政策,LastPass现在有90天的时间来解决该问题,然后才能披露漏洞的详细信息。 LastPass立即采取行动解决此安全缺陷。
LastPass承认违规行为,并称其为“独特而高度复杂的”攻击。作为协议,也是出于安全目的,该公司没有透露有关攻击的详细信息。
“我们不想透露有关漏洞或解决方案的任何特定内容,这些漏洞或解决方案可能会向不那么复杂但邪恶的政党揭示任何东西,”写LastPass在其官方博客中。
LastPass还透露,一旦解决问题,将发布“更详细的验尸”报告。
这不是Ormandy第一次暴露于LastPass漏洞。今年三月早些时候,奥曼迪报告两个分开缺陷在LastPass'浏览器附加组件中。根据Ormandy的说法,这第三个漏洞可能需要一段时间,称其为“主要的建筑问题”。
如何保护LastPass帐户
LastPass承认Ormandy在帮助公司“提高在线安全性”的努力,并发誓要成为市场上最有担保的密码经理。为了预防,它分享了有关用户如何保护其帐户免受此类安全漏洞的提示。
LastPass共享的一个建议是将LastPass Vault用作受密码保护站点的启动板。根据LastPass的说法,这是访问其凭据的最安全方法,在解决漏洞之前,情况就是这种情况。
另一个是两因素身份验证。最后一个建议向用户“尽可能”使用其帐户来执行此操作,因为大多数网站已经提供了此选项。
最后,该公司警告不要进行网络钓鱼攻击,警告用户不要单击可疑链接并建议他们阅读其网络钓鱼底漆。
