使用最好的密码管理器来保证你的登录安全是个好主意,但现在一家安全公司警告说,世界上最流行的密码管理器使用起来并不安全。
这个说法来自Intego,一家专门从事Mac安全的公司。Intego是根据LastPass近几个月来遭遇的一系列安全漏洞、LastPass对这些事件的回应方式,以及LastPass用于保护客户账户的底层技术来作出这一断言的。
在其报告中,Intego概述了LastPass的传奇故事,从2022年8月首次披露漏洞,到12月竞争对手密码管理器1Password的调查。Intego称,这条时间线描绘了一个在实践和技术上有问题的密码管理器。
2022年8月,LastPass通知用户,其开发环境被一个未经授权的第三方访问,但没有客户数据被拿走。然后,LastPass在11月发布了一份新的声明,称黑客拿走了”……客户信息的某些要素”。
最后,在12月,LastPass承认被黑客访问的数据被用来欺骗公司员工,让他们交出一些客户证书的密钥,然后被用来访问和解密客户数据。
有疑问的做法
然而,Intego坚持认为,第三方对该漏洞的分析表明了一个更令人不安的情况。例如,根据安全研究员Wladimir Palant的说法,LastPass的声明”充满了遗漏、半真半假和公然的谎言”。Palant的指控之一是,根据行业标准,LastPass实施的密码强化算法被认为不够强大,使用户的保险箱太容易被黑客入侵。
竞争对手的密码管理器1Password也发表了自己的看法,声称黑客要破解保护许多LastPass保险箱的主密码需要花费100美元或更少,这就是LastPass的散列方法的弱点。
所有这些导致Intego表示,”鉴于我们现在对LastPass的了解—包括该公司的运作方式和技术—我们不建议使用LastPass作为密码管理器。“
如何保持你的密码安全
考虑到LastPass的受欢迎程度,这是个了不起的声明。LastPass自己声称它有超过3300万用户—如果关于其安全性不高的说法是正确的,这就是一个巨大的数字,他们的账户、密码和信用卡数据现在都有可能受到攻击。
现在,Intego建议LastPass用户立即开始将他们的账户迁移到另一个密码管理器。一旦迁移完成,该公司建议用户用新的密码来更新所有存储在LastPass的密码。
这表明,即使是最受欢迎的服务,也无法避免黑客攻击和安全漏洞的影响。无论你是否使用密码管理器,你都可以通过使用强大、独特的密码来保护自己,这些密码不在多个网站上使用。这样,一个漏洞就不会导致你的所有其他账户被泄露。