LastPass 在过去十年中经常出现在新闻中。在发生一些数据泄露和安全事件后,您可能想知道现在使用众所周知的密码管理器是否安全 – 无论您是以前、当前还是潜在的 LastPass 用户。
让我们结合之前的事件来了解一下 LastPass 目前的功能和安全措施。
什么是 LastPass?
LastPass是一款密码管理应用程序,可在网络、桌面和移动设备以及浏览器扩展上使用。它提供多因素身份验证、生物识别登录、自动填充、密码生成器和暗网监控以及基本的密码管理功能。
至于安全性, LastPass 使用 AES-256 数据加密、带有 SHA-256 salting 的 PBKDF2 哈希以及零知识模型。 LastPass 还拥有多项安全认证,包括 ISO 27001、TRUSTe、SOC3 等。
目前,LastPass 拥有超过 3300 万用户,预计年收入为 1.437 亿美元。
这一切听起来棒极了,对吧?所以有什么问题?
LastPass 安全事件
人们询问 LastPass 是否可以安全使用是有原因的。多年来,安全漏洞以及信息被盗无疑引起了人们的担忧。为了更多地了解这些事件,让我们看一下所发生事件的简要时间表。
2011:安全通知
LastPass 发现其网络流量存在异常情况,并且在其数据库之一中发现了匹配的情况。尽管没有发现具体的漏洞,LastPass 仍要求用户更改主密码,因为担心部分数据可能遭到黑客攻击。
2015 年:安全漏洞
LastPass 通知其社区,它在其网络上“发现并阻止了可疑活动”。该通知指出,电子邮件地址、密码提醒、每个用户的服务器盐和身份验证哈希值均受到损害。然而,它没有发现用户保管库数据被盗的证据,并表示用户帐户没有被访问。
2021 年:第三方跟踪器和主密码
LastPass 用户在 Android 移动应用程序中发现了多个第三方跟踪器。虽然类似的密码管理器也包含这些类型的跟踪器,但有人指出,LastPass 在 1Password、Bitwarden 和 Dashlane 之间拥有最多的跟踪器。
“任何敏感的个人可识别用户数据或保险库活动都不能通过这些跟踪器传递。这些跟踪器收集有关您如何使用 LastPass 的有限汇总统计数据,这些数据用于帮助我们改进和优化产品。”LastPass 代表向 The Register 提供的声明中说道。
据报道,2021 年晚些时候,LastPass 用户收到电子邮件通知,称其主密码已被泄露,并且使用这些密码的登录尝试已被阻止。然而, LastPass 代表表示,该公司调查了这些报告并“确定该活动与相当常见的机器人相关活动有关……”
2022 年:数据盗窃
最令人难忘的安全事件可能发生在黑客窃取了 LastPass 客户数据库的副本以及密码库和数据(包括姓名、电子邮件和帐单地址、部分信用卡号和 URL)时。涉及加密和未加密数据的混合。
LastPass 安全事件报告从上述 2022 年 8 月发生的事件开始。然后,它在接下来的几个月内进行了更新,解释了对用于存储备份和其他数据的共享第三方云存储服务中异常活动的调查。
2022 年晚些时候,LastPass 表示,在最初的 8 月份事件中获得的数据用于获取客户信息,但密码仍然是加密的。
该个人或实体能够获取源代码和技术信息,以便随后针对 LastPass 员工。他们获得了凭据和密钥,以便访问和解密该云服务中的存储卷。然后,他们从备份中复制信息,其中包含公司名称、用户名、电子邮件和帐单地址、电话号码和 IP 地址。
2023 年 9 月,人们发现 2022 年的数据盗窃事件与去年 12 月以来超过 150 名受害者的超过 3500 万美元的加密货币被盗之间存在联系。
附加 LastPass 安全措施
如前所述,LastPass 使用行业标准进行加密、PBKDF2 哈希加盐以及零知识方法来保护您的数据。
它还对其服务和基础设施进行例行审核和测试,并为用户提供访问其安全团队的权限以报告可能的弱点。 LastPass 还使用所谓的错误赏金计划,白帽黑客可以提交他们发现的错误。
您应该使用 LastPass 吗?
凭借当前的安全措施、良好的功能集和数百万用户,如果您能够回顾过去十多年的安全事件,那么使用 LastPass作为您的首选密码管理器听起来很合理。
但归根结底就是这样。你能回顾过去的事件吗?您觉得您的数据安全吗?您愿意对 LastPass 有多少信任?
有许多公司推出了密码管理产品,但并未成为头条新闻,也没有发生过像 LastPass 这样的事件。而且,LastPass 显然是黑客和窃贼的永久攻击目标。希望该公司正在采取必要的措施来解决问题,但现在,您必须决定是否值得冒这个风险。