用戶管理密碼服務 LastPass 於上星期五發現受在黑客入侵,LastPass 日前亦就此向用戶傳送提醒電郵,要求用戶更改主密碼;並要求未採用多從因素認證的用戶均必須透過電子郵件進行帳號驗證。
Joe Siegrist:黑客難以快速攻擊行動中運用收獲
LastPass 發現黑客入侵活動後隨即就封鎖可疑的存取活動;而隨後的調查就確認黑客於入侵活動中竊得用戶的電郵帳號、密碼提醒字串、驗證碼及於密碼中所插入的特定字串「salts」,不幸中之大幸是,用戶帳號與被加密的密碼資料庫並未被黑客所觸及。
LastPass 的服務主要為協助用戶產生較原來更安全的新密碼、等各種服務的密碼進行記錄、自動填入密碼等,而用戶只需手持登入 LastPass 用的主密碼 (master password) 即可,以簡化加密使用體驗。
LastPass 共同創辦人暨行政總裁 Joe Siegrist 深信 LastPass 採用的加密措施足以保護大多用戶;除透過隨機「加鹽」以強化驗證外,不論於伺服器或客戶端都有大量的密碼強化運算 (PBKDF2-SHA256),故黑客難以在快速攻擊行動中運用由 LastPass 竊來的密碼。Siegrist 續指,由於 LastPass 用戶的加密資料並未受黑客指染,所以用戶毋需更改儲存於 LastPass 密碼資料庫中的各密碼。
但為怕萬一,LastPass 亦要求未採用多從因素認證 (Multi-factor authentication) 的用戶於新裝置或 IP 位址登入時,均必須透過電子郵件進行帳號驗證,同時亦建議用戶應盡快更新帳戶的主密碼。
同為 LastPass 用家的 unwire.pro 編輯也收到官方電郵通知,故 unwire.pro 就建議所有為 LastPass 用戶 – 尤其是使用如英文單詞等較弱作為主密碼的讀者,無論如何亦應重置主密碼以保平安。
Source:LastPass