密码管理网站LastPass周一表示,电子邮件地址及加密主密码被攻陷。该公司首席执行官Joe Siegrist表示公司认为用户的账户并未被访问,但建议用户修改访问账户的主密码。
LastPass以及其他密码管理者如Dashlane及Roboform的设立初衷是为了解决密码不安全这个长久以来的问题。人们倾向于使用容易记住的弱密码,并且还会为多个账户设立同样的密码,而且不会很频繁地予以修改。LastPass的解决方案允许7600万名用户只需记住一个强主密码就可以,这些主密码可访问所有单个网站的登录及密码,因为这些登录及密码都存储在LastPass加密的用户库中。
LastPass表示在上周五发现并拦截了“可疑活动”。进一步的调查发现电子邮箱、密码提醒、每个用户盐(为密码添加数据让密码更加难以破解)的服务器、以及验证哈希均被攻陷。好消息是,所有账户均未被攻陷而且攻击者并没有获取访问加密用户库数据(包括LastPass存储的所有用户的个人账户登录凭证及密码)的访问权限。
LastPass表示,得益于公司强大的加密方法,只要用户创建了强主密码,要破解被攻陷的加密主密码很难。“我们坚信我们的加密措施足以保护多数用户,”Siegrist在博客中写道。
LastPass采用的是每个用户盐的方式,也就是说攻击者不得不尝试对每个加密主密码都进行单独破解。“此外,由于用户的密码在发送给LastPass后就被哈希了数千次,而且在被存储之前又被哈希了10万次,因此密码不会以很快的速度就被猜测到。”LastPass媒体联系人Erin Style在邮件中解释称。
即便如此,LastPass仍然建议所有用户修改主密码并设立双因素认证。那些设置了弱主密码或在其他网站使用了相同主密码的用户应当马上予以修改。LastPass表示无需修改存储在LastPass的每个账户密码,因为这种加密数据并未被访问。为安全起见,LastPass将会要求所有从新设备或新IP地址登录LastPass账户的用户通过电子邮件验证,除非用户已经拥有了双因素认证。
LastPass拒绝就这起安全事件何时发生或攻击手法是什么置评,因为LastPass还在跟联邦机构及第三方专家合作展开调查。
LastPass以及其他密码管理者如Dashlane及Roboform的设立初衷是为了解决密码不安全这个长久以来的问题。人们倾向于使用容易记住的弱密码,并且还会为多个账户设立同样的密码,而且不会很频繁地予以修改。LastPass的解决方案允许7600万名用户只需记住一个强主密码就可以,这些主密码可访问所有单个网站的登录及密码,因为这些登录及密码都存储在LastPass加密的用户库中。
LastPass表示在上周五发现并拦截了“可疑活动”。进一步的调查发现电子邮箱、密码提醒、每个用户盐(为密码添加数据让密码更加难以破解)的服务器、以及验证哈希均被攻陷。好消息是,所有账户均未被攻陷而且攻击者并没有获取访问加密用户库数据(包括LastPass存储的所有用户的个人账户登录凭证及密码)的访问权限。
LastPass表示,得益于公司强大的加密方法,只要用户创建了强主密码,要破解被攻陷的加密主密码很难。“我们坚信我们的加密措施足以保护多数用户,”Siegrist在博客中写道。
LastPass采用的是每个用户盐的方式,也就是说攻击者不得不尝试对每个加密主密码都进行单独破解。“此外,由于用户的密码在发送给LastPass后就被哈希了数千次,而且在被存储之前又被哈希了10万次,因此密码不会以很快的速度就被猜测到。”LastPass媒体联系人Erin Style在邮件中解释称。
即便如此,LastPass仍然建议所有用户修改主密码并设立双因素认证。那些设置了弱主密码或在其他网站使用了相同主密码的用户应当马上予以修改。LastPass表示无需修改存储在LastPass的每个账户密码,因为这种加密数据并未被访问。为安全起见,LastPass将会要求所有从新设备或新IP地址登录LastPass账户的用户通过电子邮件验证,除非用户已经拥有了双因素认证。
LastPass拒绝就这起安全事件何时发生或攻击手法是什么置评,因为LastPass还在跟联邦机构及第三方专家合作展开调查。
还没有评论,来说两句吧...