不知道各位差友還有沒有印象。
【資料圖】
我們不久之前提到過,Chromium 系瀏覽器用了一種 “ 把鑰匙插在保險箱 ” 上的辦法來 “ 加密 ” 你保存的密碼。
這就導致假如你電腦里沒有火絨一類的規則安全軟件的話。。。中了毒之后一秒就能被黑客盜走你的各種賬號密碼。
當時我們給大家的建議之一就是把密碼導出到第三方密碼本軟件,他們更專業,并且普遍實行嚴格的加密政策。
想從他們那拿到儲存的賬號和密碼,會更加困難。
但是。。。我們這臉被打的,好像有點兒快?
上周,有三千多萬用戶的世界知名密碼管理工具 LastPass 直接整了個大活:
他們發現,大量數據庫備份,其中包括用戶數據以及儲存的用戶賬號密碼,被人給摸走了!
由于托尼在幾年前也使用過 LastPass ,所以第一時間去官網看了一下什么情況。
一上來的消息就非常不妙:這次有很多明文的數據泄露出去了。
啥意思呢?
好消息:你的密碼是加密存儲的,問題不大。
壞消息:除了密碼沒問題,其它的都有問題,并且問題很大!
因為 LastPass 并沒有給用戶的注冊郵箱和手機號,賬單地址, IP 地址等大量關鍵隱私數據加密。
甚至連用戶保存賬號密碼的網址,他們也沒有加密。
我們來舉個例子,假設我們的小黑胖是個 LastPass 的重度用戶。
黑客拿到這次泄露的數據之后,首先可以知道小黑胖的郵箱地址和手機號 —— 不過這些信息其它平臺也泄露個七七八八了。
但和以往不同的是,這次黑客還能知道小黑胖在哪些平臺注冊過賬號!!!
這些信息樂觀估計,可以用來發廣告——什么人在什么網站上有賬號,這可是 “ 用戶畫像 ” 數據啊!
而更陰暗一點,則可以幫助詐騙或黑客集團 “ 精耕細作 ”,挑選受害者。
比如這樣。
話說到這里,肯定也會有小伙伴兒說了:
“ 我有足夠的防騙意識,而且我也沒在不干凈的網站上注冊過賬號,你說的這些情況我都不擔心。”
嗯。。。那接下來這點,你可能該坐不住了。。。
因為LastPass 的加密根本沒有他們說的那么無懈可擊。
LastPass 要求用戶設置一個主密碼,用戶每次想用自己存的密碼,都得把它輸一遍。因此這個密碼必須非常難破解才夠安全。
但他們曾在 2018 年被懷疑安全措施遠遠落后于時代,在那之后, LastPass 改進了加密方式,密鑰迭代增加到了 10 萬次,并且要求用戶至少采用 12 位的密碼。
然而令人吐血的是,這次升級實際上并不是自動進行的, LastPass 也沒有強制要求那些采用不安全密碼的用戶更換新的密碼。
結果就是很多老用戶的賬戶既沒有被升級到新的加密方法,也仍然在使用位數不夠或已經泄露的舊密碼。
托尼的舊賬戶就是其中之一,這個 2014 或 2015 年( 記不太清 )創建的賬戶并沒有自動升級到新的加密方法,仍然在使用舊的 5000 次迭代加密。
這些不符合現代安全要求的密碼很可能會在幾小時到幾個月內被黑客輕松批量破解,之后的故事。。。估計你們就該猜到了。
但是 LastPass 似乎是想淡化處理,直到今天都沒有通知這些用戶采取行動。。。
比如我就沒收到任何通知。
這搞不好會加速不知情用戶的賽博死亡。。。
而且同樣有人指出,即使采用了 LastPass 官方推薦的安全手段,這次泄露仍然會給一些高價值人群帶來風險。
由于用戶信息的泄露,黑客完全能夠知道哪些加密數據背后是 “ 有價值 ” 的 “ 客戶 ”。
他們如果愿意出幾十上百萬美元,租上幾千塊顯卡來破解,配合上對用戶信息的了解( 大多數人不會采用完全隨機的密碼,總會有一些個人特色 ),真的有可能在較短時間里試出密碼。
總而言之,不要相信 LastPass 這次公告中 “ 目前不需要執行任何建議的操作 ” 的建議。
應該立刻更改你的密碼,只要它在 LastPass 里儲存過。
同時,托尼也對 LastPass 的專業程度表示懷疑。本該加密的用戶信息,為何是明文儲存的?
按照宣傳,數據在發送給 LastPass 之前已經加密 ▼
如果黑客得到的信息里不包括明文,那就沒法從中找出某個特定的人,更別說配合用戶信息來破解密碼了。
我后來好好查了查 LastPass 歷來的安全事件,結果發現他們家數據庫好像有點兒。。。漏風啊。。。
哎,不知道這次又會有多少用戶對密碼管理器失去信任。
其實長久以來,世界上就沒有絕對安全的一堵墻, LastPass 的友商們也許做得比它更安全,但是只要靶子立在這里,也就必然有被攻破的那一天。
估計有些小伙伴看完這條推送之后,可能就要急吼吼去銷毀密碼管理器里的記錄,然后回歸傳統的 “ 腦力 ” 記憶法了。
不過在那之前的最后,對于有能力的小伙伴,我們可以試著自己用開源的 Bitwarden 或者 KeePass,搭建一個屬于自己的獨立密碼管理器。
不知道有沒有小伙伴對這個方案感興趣的,搭過的差友也可以在評論區跟大家交流交流經驗。
撰文:鶴然 編輯:面線
網站首頁 |網站簡介 | 關于我們 | 廣告業務 | 投稿信箱
Copyright © 2000-2020 www.fnsyft.com All Rights Reserved.
中國網絡消費網 版權所有 未經書面授權 不得復制或建立鏡像
聯系郵箱:920 891 263@qq.com
亚洲色欲色欲www在线丝| mm1313亚洲精品国产| 亚洲精品456播放| 亚洲国产成人手机在线观看| 2020年亚洲天天爽天天噜| 亚洲最大黄色网址| 亚洲毛片基地日韩毛片基地| 亚洲综合久久成人69| 亚洲成人福利网站| 亚洲国产成人精品无码区在线秒播 | 亚洲JIZZJIZZ妇女| 亚洲av永久无码精品秋霞电影秋| 在线亚洲高清揄拍自拍一品区| 国产成人亚洲综合网站不卡| jiz zz在亚洲| 亚洲国产午夜精品理论片在线播放 | 亚洲不卡中文字幕| 亚洲精品123区在线观看| 亚洲中文字幕精品久久| 亚洲精华国产精华精华液好用 | 亚洲风情亚Aⅴ在线发布| 最新亚洲人成无码网站| 亚洲AV无码乱码精品国产| 国产成人精品久久亚洲| 亚洲中文字幕无码久久2017 | 亚洲精品无码午夜福利中文字幕 | 亚洲av综合av一区二区三区 | 亚洲无圣光一区二区| 亚洲人成网站看在线播放| 亚洲免费网站观看视频| 国产偷国产偷亚洲高清在线| 久久久久亚洲精品无码网址| 亚洲国产精品SSS在线观看AV| 亚洲高清在线视频| 亚洲a∨无码男人的天堂| 亚洲精品V天堂中文字幕| 亚洲精品在线视频| 亚洲AV永久无码精品一百度影院| 中文字幕亚洲综合精品一区| 亚洲人成777在线播放| 亚洲AV无码一区二区大桥未久|
營業執照公示信息