密碼保管應用LastPass遭黑客攻擊

新浪科技訊 北京時間6月16日早間消息，在密碼保管服務LastPass周一報告稱，該公司的網絡上周五被黑客攻破，因此用戶需要修改主密碼。

LastPass表示，該公司的信息安全團隊在對“可疑活動”進行調查后發現，其網絡被黑客攻破。不過在調查中，沒有任何證據表明攻擊者從用戶密碼庫中竊取了加密數據，也沒有獲取用戶的帳戶信息。不過，攻擊者可能竊取了用戶帳號的電子郵件地址、密碼提醒信息，以及用於認證的哈希信息。

根據這些信息，攻擊者有可能猜出較弱的用戶主密碼。不過該公司CEO喬伊·西格裏斯特(Joe Siegrist)表示，LastPasss的保護措施使“攻擊者很難快速破解竊取的哈希信息”。

因此LastPass建議，該服務的所有用戶都需要設置新的主密碼，而如果用戶已開啟兩步驗證功能，那麼所有從新設備或新IP地址登錄帳號的用戶都需要通過電子郵件去驗證身份。

LastPass幫助用戶保存多個網站的密碼，隨后自動登錄這些網站，因此用戶將沒有必要再記憶多個單獨的密碼。LastPass還提供了一款工具，用於生成複雜密碼串，而用戶只需記住主密碼即可使用該服務。不過，這樣做的安全性取決於LastPass沒有被黑。

對於採用較弱主密碼，例如將英文單詞作為主密碼的用戶，重置主密碼尤為重要，因為這類用戶的密碼更容易被黑客破解。如果用戶還將這一主密碼用於其他網站的帳號，那麼也應當在相應網站上修改。

這並不是LastPass首次遭到黑客攻擊。2011年，該公司也曾遭到過一次攻擊，不過當時的情況有所不同。LastPass知道有哪些信息丟失，隨后加強了密碼安全技術，避免再次遭到黑客攻擊。

LastPass是當前最熱門的密碼保管服務之一，這主要是由於該公司的服務免費。目前尚不清楚有多少用戶在此次攻擊中受到影響。(張帆)