專門管理用戶各式密碼的LastPass在上周五發現遭到駭客入侵,除了立即封鎖可疑活動的存取之外,LastPass調查發現駭客取得用戶的電子郵件帳號、密碼提醒字串、驗證雜湊,以及雜湊中的「鹽巴」(salts,在密碼中所插入的特定字串),但用戶帳號或是加密的密碼資料庫並未被存取。

LastPass可協助用戶產生安全的新密碼、記錄各式服務的密碼及自動填入密碼等,使用者唯一需要記住的是用來登入LastPass服務的「主密碼」(master password)。雖然並無證據顯示LastPass用戶的主要密碼外洩,但駭客仍有機會經由所竊得的雜湊與「鹽巴」找出密碼。

LastPass共同創辦人暨執行長Joe Siegrist指出,相信LastPass所採用的加密措施足以保護大多數的使用者,除了透過隨機的加鹽程序來強化驗證雜湊外,不論是在客戶端或伺服器端都執行了大量的密碼強化運算(PBKDF2-SHA256),代表駭客很難快速攻擊偷來的雜湊碼。

為了預防萬一,LastPass要求未採用多因素認證的用戶在以新的裝置或是IP位址登入時,必須透過電子郵件進行帳號驗證,也提醒用戶更新他們的主要密碼。

Siegrist表示,由於駭客並未取得LastPass用戶的加密資料,因此使用者不需變更儲存在LastPass密碼資料庫中的各式密碼。

LastPass在2011年也曾發生疑似駭客入侵的事件,當時LastPass僅發現異常的流量,並未確認任何資料的外洩,但採取了最謹慎的措施,要求用戶更新主要密碼。(編譯/陳曉莉)

 

熱門新聞

Advertisement