不知道各位差友還有沒有印象。

【資料圖】

我們不久之前提到過，Chromium 系瀏覽器用了一種 “ 把鑰匙插在保險箱 ” 上的辦法來 “ 加密 ” 你保存的密碼。

這就導致假如你電腦里沒有火絨一類的規則安全軟件的話。。。中了毒之后一秒就能被黑客盜走你的各種賬號密碼。

當時我們給大家的建議之一就是把密碼導出到第三方密碼本軟件，他們更專業，并且普遍實行嚴格的加密政策。

想從他們那拿到儲存的賬號和密碼，會更加困難。

但是。。。我們這臉被打的，好像有點兒快？

上周，有三千多萬用戶的世界知名密碼管理工具 LastPass 直接整了個大活：

他們發現，大量數據庫備份，其中包括用戶數據以及儲存的用戶賬號密碼，被人給摸走了！

由于托尼在幾年前也使用過 LastPass ，所以第一時間去官網看了一下什么情況。

一上來的消息就非常不妙：這次有很多明文的數據泄露出去了。

啥意思呢？

好消息：你的密碼是加密存儲的，問題不大。

壞消息：除了密碼沒問題，其它的都有問題，并且問題很大！

因為 LastPass 并沒有給用戶的注冊郵箱和手機號，賬單地址， IP 地址等大量關鍵隱私數據加密。

甚至連用戶保存賬號密碼的網址，他們也沒有加密。

我們來舉個例子，假設我們的小黑胖是個 LastPass 的重度用戶。

黑客拿到這次泄露的數據之后，首先可以知道小黑胖的郵箱地址和手機號 —— 不過這些信息其它平臺也泄露個七七八八了。

但和以往不同的是，這次黑客還能知道小黑胖在哪些平臺注冊過賬號！！！

這些信息樂觀估計，可以用來發廣告——什么人在什么網站上有賬號，這可是 “ 用戶畫像 ” 數據啊！

而更陰暗一點，則可以幫助詐騙或黑客集團 “ 精耕細作 ”，挑選受害者。

比如這樣。

話說到這里，肯定也會有小伙伴兒說了：

“ 我有足夠的防騙意識，而且我也沒在不干凈的網站上注冊過賬號，你說的這些情況我都不擔心。”

嗯。。。那接下來這點，你可能該坐不住了。。。

因為LastPass 的加密根本沒有他們說的那么無懈可擊。

LastPass 要求用戶設置一個主密碼，用戶每次想用自己存的密碼，都得把它輸一遍。因此這個密碼必須非常難破解才夠安全。

但他們曾在 2018 年被懷疑安全措施遠遠落后于時代，在那之后， LastPass 改進了加密方式，密鑰迭代增加到了 10 萬次，并且要求用戶至少采用 12 位的密碼。

然而令人吐血的是，這次升級實際上并不是自動進行的， LastPass 也沒有強制要求那些采用不安全密碼的用戶更換新的密碼。

結果就是很多老用戶的賬戶既沒有被升級到新的加密方法，也仍然在使用位數不夠或已經泄露的舊密碼。

托尼的舊賬戶就是其中之一，這個 2014 或 2015 年（ 記不太清 ）創建的賬戶并沒有自動升級到新的加密方法，仍然在使用舊的 5000 次迭代加密。

這些不符合現代安全要求的密碼很可能會在幾小時到幾個月內被黑客輕松批量破解，之后的故事。。。估計你們就該猜到了。

但是 LastPass 似乎是想淡化處理，直到今天都沒有通知這些用戶采取行動。。。

比如我就沒收到任何通知。

這搞不好會加速不知情用戶的賽博死亡。。。

而且同樣有人指出，即使采用了 LastPass 官方推薦的安全手段，這次泄露仍然會給一些高價值人群帶來風險。

由于用戶信息的泄露，黑客完全能夠知道哪些加密數據背后是 “ 有價值 ” 的 “ 客戶 ”。

他們如果愿意出幾十上百萬美元，租上幾千塊顯卡來破解，配合上對用戶信息的了解（ 大多數人不會采用完全隨機的密碼，總會有一些個人特色 ），真的有可能在較短時間里試出密碼。

總而言之，不要相信 LastPass 這次公告中 “ 目前不需要執行任何建議的操作 ” 的建議。

應該立刻更改你的密碼，只要它在 LastPass 里儲存過。

同時，托尼也對 LastPass 的專業程度表示懷疑。本該加密的用戶信息，為何是明文儲存的？

按照宣傳，數據在發送給 LastPass 之前已經加密 ▼

如果黑客得到的信息里不包括明文，那就沒法從中找出某個特定的人，更別說配合用戶信息來破解密碼了。

我后來好好查了查 LastPass 歷來的安全事件，結果發現他們家數據庫好像有點兒。。。漏風啊。。。

哎，不知道這次又會有多少用戶對密碼管理器失去信任。

其實長久以來，世界上就沒有絕對安全的一堵墻， LastPass 的友商們也許做得比它更安全，但是只要靶子立在這里，也就必然有被攻破的那一天。

估計有些小伙伴看完這條推送之后，可能就要急吼吼去銷毀密碼管理器里的記錄，然后回歸傳統的 “ 腦力 ” 記憶法了。

不過在那之前的最后，對于有能力的小伙伴，我們可以試著自己用開源的 Bitwarden 或者 KeePass，搭建一個屬于自己的獨立密碼管理器。

不知道有沒有小伙伴對這個方案感興趣的，搭過的差友也可以在評論區跟大家交流交流經驗。

撰文：鶴然 編輯：面線

關鍵詞： lastpass 數據泄露