使用最好的密码管理器之一来保护您的登录安全是个好主意,但现在一家安全公司警告说,世界上最受欢迎的密码管理器之一使用起来并不安全。
非凡的声明来自 Intego,这是一家专门从事 Mac 安全的公司。 Intego 基于 LastPass 近几个月遭受的一系列安全漏洞、LastPass 应对这些事件的方式以及 LastPass 用于保护客户账户的基础技术做出了这一断言。
在其报告中,Intego 概述了 LastPass 的传奇,从 2022 年 8 月首次披露漏洞,到竞争对手密码管理器 1Password 在 12 月展开调查。 Intego 表示,该时间表描绘了密码管理器的图片,其做法和技术存在问题。
2022 年 8 月,LastPass 通知用户其开发环境已被未经授权的第三方访问,但未窃取任何客户数据。然后,LastPass在 11 月发布了一份新声明,称黑客窃取了“……客户信息的某些元素”。
最后,在 12 月, LastPass 承认黑客访问的数据被用来诱骗公司员工交出一些客户凭证的密钥,然后这些密钥被用来访问和解密客户数据。
有问题的做法
然而,Intego 坚持认为,第三方对违规行为的分析表明存在更麻烦的情况。例如, 根据安全研究员 Wladimir Palant的说法,LastPass 的声明“充满了遗漏、半真半假和彻头彻尾的谎言”。 Palant 的其中一项指控是,根据行业标准,LastPass 实施的密码强化算法被认为不够强大,这使得用户的保险库太容易被黑客入侵。
竞争对手密码管理器 1Password 也加入了自己的观点,声称破解保护许多 LastPass 保险库的主密码将花费黑客100 美元或更少,这就是 LastPass 散列方法的弱点。
所有这些导致 Intego 表示,“鉴于我们现在对 LastPass 的了解——公司的运营方式和技术——我们不建议使用 LastPass 作为密码管理器。”
如何保护您的密码安全
鉴于 LastPass 的受欢迎程度,这是一个了不起的声明。 LastPass 本身声称它拥有超过 3300 万用户——如果关于其松散安全性的说法是正确的,那么有大量的人的帐户、密码和信用卡数据现在都可能容易受到攻击。
现在,Intego 建议 LastPass 用户立即开始将他们的帐户迁移到另一个密码管理器。一旦完成,该公司建议用户用新的替代品更新所有存储在 LastPass 中的密码。
它表明,即使是最流行的服务也不能免受黑客攻击和安全漏洞的影响。无论您是否使用密码管理器,您都可以使用不会在多个站点上使用的强而独特的密码来保护自己。这样一来,一次违规不会导致您的所有其他帐户受到损害。