密碼管理工具對於用家而言可能是個方便的形式,在提升密碼複雜程度的同時維持一定的便利。不過當這些平台被入侵,則可能會帶來更大的問題。最近 LastPass 被入侵事件則繼續在醞釀之中。
LastPass 方面在 23 日公告了有駭客利用 8 月的代碼洩漏事件來入侵他們存放在雲端的資料庫備份,而且所帶來的影響比最初報告的要嚴重。其中有大量用戶資料外洩,雖然用戶資料都已經被加密,不過駭客如果找到方式取得解密,則等於人們在 LastPass 存放的所有數據都可以被存取,其中包括基本帳戶資料、公司名稱、帳單、IP 位址和電話號碼,甚至用戶管理的帳號、密碼與填表資料等都有機會被取得。
LastPass CEO Karim Toubba 強調,這些資料都使用了 256 位元 AES 加密,只可以透過他們的零知識架構,從每個用家的主密碼生成唯一加密密鑰才可以解密,而 LastPass 從來不會儲存用家的主密碼,因此風險不大。他們鼓勵用戶啟用雙重驗證 (2FA) 來提升帳戶安全,主密碼也不應與任何其他密碼重複使用。
來源:NPR