搜罗天下

当前位置/ 首页/ 新闻频道/搜罗天下/ 正文

一些用户抱怨他们的主要电子邮件密码存储在LastPass中

近期涉及一些用户抱怨他们的主要电子邮件密码存储在LastPass中内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于一些用户抱怨他们的主要电子邮件密码存储在LastPass中最新消息。

网络流量中的“异常”提示在线密码管理器LastPass通知其客户潜在的安全漏洞,要求他们立即更改其主密码。

管理员注意到5月3日,从“非关键”计算机持续了几分钟的“网络流量异常”,LastPass在5月4日在其博客上写道。大多数异常通常是员工在四处闲逛或执行自动脚本一个过程。

经过更多的挖掘之后,团队发现了一个匹配的异常,其中与服务器实际收到的流量相比,从数据库发送的流量更多。该团队能够大致估算出已存储的数据量,计算得出的数据量足够大,可以从数据库中转移用户电子邮件地址以及服务器的“盐和盐”密码哈希。根据LastPass的说法,所获取的数据量“不够遥远”,无法吸引许多用户的加密数据博客。

LastPass团队写道:“我们将变得偏执,并承担最坏的假设:我们以某种方式访问​​了我们存储在数据库中的数据。”

盐是随机生成的数据位,在生成加密散列之前将其与密码结合在一起,该散列保存在数据库中。通常,使用盐会使攻击者更难于暴力破解密码。使用盐扩展了创建彩虹表或包含字典单词和盐的哈希值的预计算查找表所需的存储和计算能力。因此,传统观点认为,破解以这种方式保护的密码是不可行的。但是,最近有报道称黑客从Amazon EC2租赁资源来破解密码。

结果,如果用户在LastPass上为主密码选择了一个强的,非基于字典的密码或通行密码,则潜在威胁很小,因为攻击者不太可能以暴力方式获取访问权限。其他帐户,根据LastPass。

该团队写道:“不幸的是,并不是每个人都选择了可以防止强行强制使用的主密码。”

该公司没有太多有关发生了什么或使用了哪种攻击媒介的信息。博客文章称,开源的Asterisk电话服务器在接受网络数据包方面比需要的开放程度更高,但是没有迹象表明有被篡改的迹象。也没有日志显示数据库中任何用户的特权升级。

LastPass正在重建有问题的服务器,并检查了网站和插件的源代码以确保它们没有被修改。该小组将使用SHA-256(由美国国家安全局设计的一组加密哈希函数集)推出PBKDF2(基于密码的密钥派生函数),以开始存储以256位salt哈希的密码。

为了应对潜在威胁,每个人都必须更改其主密码并通过使用之前使用的IP地址或通过单击发送到该地址的链接来验证电子邮件地址来证明其身份。如果攻击者的主密码被盗,LastPass仍然不会授予该“理论攻击者”的访问权限,因为他们将无法访问电子邮件地址或实际的计算机或移动设备。

该团队写道:“我们意识到这可能是反应过度,我们为此会造成破坏表示歉意,但是我们宁愿偏执,给您带来一些不便,而不是以后再后悔。”

高级安全顾问和Sophos新闻联系人Carole Theriault在NakedSecurity上写道,LastPass做的是“正确的事情” 。Theriault说,该公司看到了奇怪的事情,意识到敏感信息可能落入错误的人手中并立即采取行动。

电子邮件验证似乎出现了一些小故障。一些用户抱怨他们的主要电子邮件密码存储在LastPass中,并且他们无法检索验证消息。LastPass已给出有关在离线模式下访问信息的说明。

尽管标语是“您将永远需要的最后一个密码”,但该课程似乎是用户应该记住LastPass主密码和主要电子邮件地址的密码。

其他用户对LastPass强制用户单击电子邮件中的链接非常批评。一位付费客户评论说:“嗯……这是恶意软件101。请不要单击电子邮件中的链接。”

这是过去几个月来LastPass的第二次安全事件。安全研究人员于3月2日在LastPass网站上发现了跨站点脚本漏洞。该漏洞已得到修复。

另一位用户“ len”写道:“我想我会自己去记住我的密码。这看起来像是在第一眼看来是网络钓鱼攻击。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。