上周五密碼管理器廠商LastPass透露其云存儲(chǔ)設(shè)施遭黑客入侵���,大量客戶保險(xiǎn)庫(kù)敏感數(shù)據(jù)疑遭泄露�。
這是LastPass自今年年初以來(lái)披露的第二起安全事件����,此前該公司曾在8月份確認(rèn)黑客使用泄露的開(kāi)發(fā)人員賬號(hào)訪問(wèn)了其開(kāi)發(fā)環(huán)境。
根據(jù)LastPass的最新通告���,最新泄露事件中攻擊者使用的正是8月份從其開(kāi)發(fā)人員環(huán)境中竊取的“云存儲(chǔ)訪問(wèn)密鑰和雙存儲(chǔ)容器解密密鑰”訪問(wèn)了Lastpass的云存儲(chǔ)設(shè)施����。
上個(gè)月LastPass曾發(fā)布8月份黑客攻擊事件的通告�,當(dāng)時(shí)該公司首席執(zhí)行官卡里姆·圖巴(Karim Toubba)含糊其辭地表示黑客“僅獲得了客戶信息的某些元素”。在發(fā)送給客戶的電子郵件中��,Lastpass還證實(shí)攻擊者從其系統(tǒng)中竊取了專(zhuān)有技術(shù)信息和產(chǎn)品源代碼����。
在后續(xù)更新中,該公司還曾透露���,八月的網(wǎng)絡(luò)攻擊中�����,黑客在其系統(tǒng)中駐留(保持內(nèi)部訪問(wèn)權(quán))了四天�����。
到底哪些數(shù)據(jù)泄露了��?
LastPass首席執(zhí)行官Toubba表示:“攻擊者非法訪問(wèn)了用戶的基本帳戶信息和相關(guān)元數(shù)據(jù)信息��。包括公司名稱���、最終用戶名稱����、賬單地址��、電子郵件地址�����、電話號(hào)碼以及客戶訪問(wèn)LastPass服務(wù)的IP地址�。(編者:此部分信息為明文未加密)”
“攻擊者還從加密存儲(chǔ)容器中復(fù)制了客戶保險(xiǎn)庫(kù)數(shù)據(jù)的備份,保險(xiǎn)庫(kù)數(shù)據(jù)以專(zhuān)有的二進(jìn)制格式存儲(chǔ),其中包含未加密的數(shù)據(jù)����,例如網(wǎng)站URL,以及完全加密的敏感字段����,例如網(wǎng)站用戶名和密碼��,安全注釋和表單填寫(xiě)的數(shù)據(jù)����。”(下圖虛線部分)
根據(jù)LastPass的說(shuō)法���,泄露的用戶保險(xiǎn)庫(kù)數(shù)據(jù)使用了256位AES加密保護(hù)��,并且只能用用戶主密碼(Master Password)派生的唯一加密密鑰進(jìn)行解密����。
Toubba表示����,用戶的主密碼永遠(yuǎn)不會(huì)為L(zhǎng)astPass所知,它不會(huì)存儲(chǔ)在Lastpass的系統(tǒng)上,并且LastPass也不會(huì)維護(hù)它��。
但LastPass客戶被警告說(shuō)����,攻擊者可能會(huì)試圖暴力破解他們的主密碼,以訪問(wèn)被盜的加密保管庫(kù)數(shù)據(jù)�。LastPass聲稱,如果用戶始終遵循LastPass推薦的密碼最佳實(shí)踐�����,這將非常困難和耗時(shí)���。
如果用戶設(shè)置了正確的主密碼�,則不用過(guò)于擔(dān)心����,因?yàn)椤笆褂贸R?jiàn)密碼破解技術(shù)猜測(cè)主密碼需要數(shù)百萬(wàn)年,”Toubba補(bǔ)充道:“您的保險(xiǎn)庫(kù)數(shù)據(jù)���,例如用戶名和密碼���,安全筆記,附件,和表單填寫(xiě)字段��,都基于LastPass的零知識(shí)架構(gòu)進(jìn)行了安全加密�����?��!?
為何引發(fā)全球用戶恐慌���?
LastPass的密碼管理軟件在全球擁有超過(guò)3300萬(wàn)個(gè)人用戶和10萬(wàn)家企業(yè)用戶��,其用戶數(shù)據(jù)大規(guī)模泄露引發(fā)了全球性恐慌����,甚至波及其他密碼管理器產(chǎn)品的用戶。
雖然LastPass宣稱泄露的是加密后的用戶數(shù)據(jù)庫(kù)��,黑客破解很困難����。但慢霧科技創(chuàng)始人余弦認(rèn)為用戶面臨的風(fēng)險(xiǎn)依然很高。他在推特上建議LastPass的企業(yè)用戶立刻更改在該密碼管理器中存儲(chǔ)過(guò)的賬戶密碼��,并警告說(shuō):
“根據(jù)官方披露的信息來(lái)看,至少虛線里的信息許多是泄露的�,包括Encrypted Vault,這里面就有你那些最關(guān)鍵的密碼等隱私����。那么后面的游戲就變成:如果你的Master Password也被黑客知道了,那就全完了...”
“黑客要知道你的Master Password是有方法的����,碰撞難度應(yīng)該挺大,但如果通過(guò)其他泄漏源做分析��,那就有一定概率可以知道���。黑客之后可以玩概率統(tǒng)計(jì)游戲�,反正LastPass用戶那么多...”
余弦進(jìn)一步警告說(shuō):“更糟糕的是�,黑客還拿到了許多明文(用戶隱私)信息,”如:
余弦指出����,雖然之前推薦了1Password和Bitwarden����,但不排除二者將來(lái)也有可能發(fā)生類(lèi)似的數(shù)據(jù)泄露安全事故,因此密碼管理器用戶應(yīng)該提高警惕�����,時(shí)刻做好響應(yīng)的準(zhǔn)備���。
密碼管理器
風(fēng)險(xiǎn)預(yù)防與緩解六大建議
GoUpSec咨詢多位安全專(zhuān)家后,總結(jié)了密碼管理器個(gè)人用戶的六大風(fēng)險(xiǎn)預(yù)防與緩解建議�����,如下:
-
如果可能����,只用開(kāi)源且不能上傳服務(wù)器的密碼管理器(例如Keepass)�����,或者關(guān)閉云同步功能(例如僅使用1Password的本地同步功能)����,避免使用瀏覽器插件等“方便的密碼管理器擴(kuò)展功能”�。該方法雖然會(huì)犧牲一些(團(tuán)隊(duì)管理)功能和便利性,但是對(duì)于個(gè)人用戶來(lái)說(shuō)�����,安全性更好���。
-
設(shè)置一個(gè)足夠強(qiáng)大和獨(dú)特的主密碼(Master Password)���,并且單獨(dú)(物理)記錄和存放,不可以任何格式(包括圖片)存儲(chǔ)在任何聯(lián)網(wǎng)設(shè)備中�。
-
在密碼管理器中不要在明文區(qū)域存儲(chǔ)敏感信息。
-
給密碼管理器中存儲(chǔ)的密碼“加鹽”(密碼的一部分片段為密寫(xiě)或者用符號(hào)代替的子密碼���,子密碼獨(dú)立于密碼管理器記錄和存儲(chǔ))�。
-
開(kāi)啟密碼管理器的多因素認(rèn)證�����,并且使用硬件密鑰或APP認(rèn)證程序等認(rèn)證因素而不是短信密碼。
-
面對(duì)類(lèi)似LastPass的用戶數(shù)據(jù)泄露事件����,請(qǐng)立刻更改所有存儲(chǔ)在密碼管理器中的賬戶密碼,并遵循以上安全建議���。
