领先的密码管理器之一 LastPass 刚刚提醒用户其基础设施已被黑客攻击。“我们想通知我们的社区,我们的团队在周五检测到并立即阻止了我们网络上的可疑活动”LastPass 首席执行官 Joe Siegrist 在一份报告中解释道博客文章。用户还收到了一封电子邮件通知。
破解密码管理器的基础有点像闯入至圣所,因为它是用户以加密形式存储所有凭据的地方。因此,由此造成的损害可能是巨大的。然而,就 LastPass 而言,风险似乎有限。据出版商称,黑客无法访问加密的用户数据。因此他们的密码没有被盗。“您无需更改 LastPass 保管库中保存的网站的密码”,向乔·西格里斯特保证。
另一方面,黑客可以访问某些身份数据,例如“LastPass 帐户电子邮件地址、密码提示、加盐和身份验证哈希”。换句话说,攻击者设法获得了主密码的指纹,从而允许用户访问他们的帐户。这意味着什么?
LastPass 不保存任何主密码,而只保存其通过哈希算法衍生的密码,即 PBKDF2。这样做的方式是从数学上很难从“哈希”中找到密码。更是如此,因为 LastPass 将称为“盐”的独特代码合并到该算法中,并对其应用 100,000 次迭代,这使得计算进一步复杂化。因此,黑客从指纹中找到主密码的可能性很小。
也许更恼人的是,黑客得到了密码线索。这些提醒可以让用户在忘记主密码时找到他们的主密码。如果攻击者很了解受害者,他就可以利用这些信息来猜测他们的密码。该索引仍然需要足够明确。简而言之,风险因此也是有限的。
为了避免任何泄露,发布者仍然建议其用户更改主密码并采用双因素身份验证。这样的话,海盗就没有机会了。
另请阅读:
今年最糟糕的密码是……,于 20/01/2015
资料来源:
