不知道各位差友還有沒有印象。
我們不久之前提到過,Chromium 系瀏覽器用了一種 「 把鑰匙插在保險箱 」 上的辦法來 「 加密 」 你保存的密碼。
這就導致假如你電腦裡沒有火絨一類的規則安全軟體的話。。。中了毒之後一秒就能被駭客盜走你的各種賬號密碼。
當時我們給大家的建議之一就是把密碼匯出到第三方密碼本軟體,他們更專業,並且普遍實行嚴格的加密政策。
想從他們那拿到儲存的賬號和密碼,會更加困難。
但是。。。我們這臉被打的,好像有點兒快?
上週,有三千多萬使用者的世界知名密碼管理工具 LastPass 直接整了個大活:
他們發現,大量資料庫備份,其中包括使用者資料以及儲存的使用者賬號密碼,被人給摸走了!
由於託尼在幾年前也使用過 LastPass ,所以第一時間去官網看了一下什麼情況。
一上來的訊息就非常不妙:這次有很多明文的資料洩露出去了。
什麼意思呢?
好訊息:你的密碼是加密儲存的,問題不大。
壞訊息:除了密碼沒問題,其它的都有問題,並且問題很大!
因為 LastPass 並沒有給使用者的註冊郵箱和手機號,賬單地址, IP 地址等大量關鍵隱私資料加密。
甚至連使用者保存賬號密碼的網址,他們也沒有加密。
我們來舉個例子,假設我們的小黑胖是個 LastPass 的重度使用者。
駭客拿到這次洩露的資料之後,首先可以知道小黑胖的郵箱地址和手機號 —— 不過這些資訊其它平臺也洩露個七七八八了。
但和以往不同的是,這次駭客還能知道小黑胖在哪些平臺註冊過賬號!!!
這些資訊樂觀估計,可以用來發廣告——什麼人在什麼網站上有賬號,這可是 「 使用者畫像 」 資料啊!
而更陰暗一點,則可以幫助詐騙或駭客集團 「 精耕細作 」,挑選受害者。
比如這樣。
話說到這裡,肯定也會有小夥伴兒說了:
「 我有足夠的防騙意識,而且我也沒在不乾淨的網站上註冊過賬號,你說的這些情況我都不擔心。」
嗯。。。那接下來這點,你可能該坐不住了。。。
因為LastPass的加密根本沒有他們說的那麼無懈可擊。
LastPass 要求使用者設置一個主密碼,使用者每次想用自己存的密碼,都得把它輸一遍。因此這個密碼必須非常難破解才夠安全。
但他們曾在 2018 年被懷疑安全措施遠遠落後於時代,在那之後, LastPass 改進了加密方式,金鑰迭代增加到了 10 萬次,並且要求使用者至少採用 12 位的密碼。
然而令人吐血的是,這次升級實際上並不是自動進行的, LastPass 也沒有強制要求那些採用不安全密碼的使用者更換新的密碼。
結果就是很多老使用者的賬戶既沒有被升級到新的加密方法,也仍然在使用位數不夠或已經洩露的舊密碼。
託尼的舊賬戶就是其中之一,這個 2014 或 2015 年( 記不太清 )創建的賬戶並沒有自動升級到新的加密方法,仍然在使用舊的 5000 次迭代加密。
這些不符合現代安全要求的密碼很可能會在幾小時到幾個月內被駭客輕鬆批量破解,之後的故事。。。估計你們就該猜到了。
但是 LastPass 似乎是想淡化處理,直到今天都沒有通知這些使用者採取行動。。。
比如我就沒收到任何通知。
這搞不好會加速不知情使用者的賽博死亡。。。
而且同樣有人指出,即使採用了 LastPass 官方推薦的安全手段,這次洩露仍然會給一些高價值人群帶來風險。
由於使用者資訊的洩露,駭客完全能夠知道哪些加密資料背後是 「 有價值 」 的 「 客戶 」。
他們如果願意出幾十上百萬美元,租上幾千塊顯示卡來破解,配合上對使用者資訊的了解( 大多數人不會採用完全隨機的密碼,總會有一些個人特色 ),真的有可能在較短時間裡試出密碼。
總而言之,不要相信 LastPass 這次公告中 「 目前不需要執行任何建議的操作 」 的建議。
應該立刻更改你的密碼,只要它在 LastPass 裡儲存過。
同時,託尼也對 LastPass 的專業程度表示懷疑。本該加密的使用者資訊,為何是明文儲存的?
按照宣傳,資料在發送給 LastPass 之前已經加密 ▼
如果駭客得到的資訊裡不包括明文,那就沒法從中找出某個特定的人,更別說配合使用者資訊來破解密碼了。
我後來好好查了查 LastPass 歷來的安全事件,結果發現他們家資料庫好像有點兒。。。漏風啊。。。
哎,不知道這次又會有多少使用者對密碼管理器失去信任。
其實長久以來,世界上就沒有絕對安全的一堵牆, LastPass 的友商們也許做得比它更安全,但是隻要靶子立在這裡,也就必然有被攻破的那一天。
估計有些小夥伴看完這條推送之後,可能就要急吼吼去銷燬密碼管理器裡的記錄,然後迴歸傳統的 「 腦力 」 記憶法了。
不過在那之前的最後,對於有能力的小夥伴,我們可以試著自己用開源的 Bitwarden 或者 KeePass,搭建一個屬於自己的獨立密碼管理器。
不知道有沒有小夥伴對這個方案感興趣的,搭過的差友也可以在評論區跟大家交流交流經驗。
撰文:鶴然編輯:面線
圖片、資料來源:
Almost Secure,What’s in a PR statement: LastPass breach explained
LastPass官網
