使用LastPass密码管理软件的用户要小心了,因为该工具继今年8月间遭到黑客入侵之后,日前再度传出被黑消息。尽管LastPass是当前全球最受欢迎的密码管理软件,但半年不到的时间就接连被黑两次,说明了该工具本身确实存在安全疑虑,用户似乎该认真考虑寻求其他更安全的替代方案。
当前网络上充斥着许多宣称能安全地加密存储个人帐密,又能方便地自动输入登录帐密与信用卡资讯的密码管理软件,其中较受欢迎的常见工具包括LastPass、KeePass及1Password。人们在选择这类工具的考量点多半只聚焦在“好用”上,似乎从未认真考虑过这些工具本身的安全性。而且同时存储这么多用户帐密及信用卡的方便工具,难免会沦为黑客最想攻击的目标之一。
日前LastPass与GoTo旗下云计算存储服务遭黑
全球最受欢迎的密码管理软件LastPass周三( 11月30日)在自家官网上的安全公告中坦承遭遇安全入侵事件。在这起事件中,黑客似乎访问了旗下用户资讯中的“某些要素”。但该公司宣称用户密码并未受到任何影响,因为LastPass采用所谓的“零知识”(Zero Knowledge)架构,所以用户密码依旧处于安全加密的保护状态。
然而,该公司首席执行官Karim Toubba在安全公告中表示,他也不敢百分百确定黑客完全没有查看或窃取用户资讯。为求保险,该公司正努力厘清整个事件的来龙去脉与影响范围,并确认是否有哪些具体资料真的被黑。
在这起安全事件中,LastPass在该公司与联盟伙伴GoTo所共有的第三方云计算存储服务中侦测到异常活动。该公司随即委托网络安全公司Mandiant展开调查,并通报执法机关。
今年8月黑客入侵LastPass开发环境
很糗的是,这不是LastPass第一次遭黑,四个月前该公司才刚经历过一次黑客入侵事件。更糟糕的是,一家标榜安全至上的密码管理软件公司竟然在短短四个月之间就被黑客光顾两次,这不但让该公司脸上无光,更让全世界广大的客户面临安全窘境。
在8月的安全事件中,LastPass官方在自家开发环境中侦测到异常活动。不过,当时该公司表示:“没有证据显示,这次事件有任何用户资料或加密密码库外泄的情况。”然而,实际上发动这起事件的攻击者似乎成功黑回LastPass系统,并获取了一些用户资料,但究竟是什么样的资料却无法确定。针对这点,Toubba表示,经过确认,未经授权的黑客利用8月事件中所获的资讯,而能够获得该公司客户资讯的某些要素。
事实上,这两年来LastPass的网络安全问题风波不断,从2011年发现的神秘安全问题到2015年爆发的黑客事件,再到2016年、2017年及2019年一连串发现的安全漏洞,再再突显出密码管理软件的安全问题已经到了用户该正视的时候。除非LastPass能在短期内做好彻头彻尾的改善,不然用户还是“另选高明”,才不失为明哲保身之道。
(首图来源:LastPass)