在线密码管理器能为你访问的每一个网站和服务自动输入单独密码,从而为你的生活增添便利。这的确是一种十分便利的工具–但前提是没有遭到黑客入侵。而网络犯罪分子只要攻破一个主密码,即能获取用户的所有重要信息,其中即包括网银登录凭证。
LastPass作为一款流行的密码管理器,最近公开其遭到网络攻击。网络攻击者成功病毒感染了用户电邮地址、密码提示、每个用户的盐以及认证散列。密码本身并没有被病毒感染,原因在于该服务并未将密码保存在云端。然而,LastPass仍然建议用户更改LastPass主密码并启用多重认证。
我们必须给LastPass点赞:LastPass发现遭黑客入侵后,第一时间就向用户发出了公开警告。而同样发生这样的情况时,许多其他大公司却往往对公众隐瞒,使得网络黑客更加有肆无恐。
然而,此次黑客攻击造成的结果依然是未知数。LastPass创始人兼首席执行官Siegrist发表声明称,本次黑客事件将不会对”绝大多数用户”造成影响。一些研究人员也支持他的观点,均表示对于采用高强度密码的用户不存在任何风险。
We've updated the blog with follow-up information to user questions about yesterday's announcement: https://t.co/DaW6LiIp7M
— LastPass (@LastPass) June 16, 2015
而其他的研究人员则认为,此次网络攻击可能会导致新一波针对LastPass用户的恶意攻击活动。网络黑客一旦拥有了真实的电邮地址清单,就能实施有针对性的网络钓鱼攻击,从而向用户骗取缺失的数据。比如,LastPass就建议用户更改主密码。
那如何才能阻止网络犯罪分子将欺诈电邮装扮成官方电邮,然后向LastPass用户滥发呢?当有用户收一封来自”开发人员”看似毫无破绽的警告和建议电邮,并毫不犹豫地点击里面的链接然后更改主密码—并将自己的重要信息向网络犯罪分子双手奉上。
# LastPass用户需立即更改他们的#密码
Tweet
我们为LastPass用户准备了如下建议:
1. 遵照官方建议:更改主密码并启用多重认证。最好在其他网站上也同样启用多重认证,比如:社交网站和电邮。
2. 千万不要点击声称发自LastPass电邮内的任何链接。这些电邮很可能是假冒的,因此最好还是在浏览器地址栏中手动输入网址。
3. 确保不在任何其他网站使用你的主密码。尽量针对不同的服务使用的不同的密码。
Data breaches have become a routine. You can’t prevent it, but there is a way to minimize the damage. http://t.co/Gq4ERG41NK
— Kaspersky (@kaspersky) August 6, 2014
这已不是第一次LastPass被迫解决类似的安全问题。就在去年夏天,加利福尼亚大学伯克利分校在五款安全管理器中发现了安全漏洞,其中就包括了LastPass。另外四款分别是:RoboForm、My1Login、PasswordBox和NeedMyPassword。
众所周知,世界上没有一种安全解决方案是完美的。每一家公司都需勇于公开针对自身的黑客攻击并为此承担起责任,尽管这可能会导致客户的流失。一些LastPass用户将转而使用其他服务,而另一些则是LastPass的忠诚用户,无论发生任何事情都会继续使用下去。
如果你正在考虑更换新的密码管理器,不妨试用一下卡巴斯基密码管理器,其安全性我们可以确定。我们不会对用户的密码进行保存,因此网络犯罪分子也无法从卡巴斯基服务器窃取数据–压根就不在那儿。
或者,你还可以安装功能更加齐全的卡巴斯基全方位安全软件—多设备版。内置有密码管理器以及所有你需要用到的安全功能,因此能保护您的设备和数据免遭任何现有恶意软件的侵扰。