不知道各位朋友还有没有印象。
我们不久之前提到过,Chromium 系浏览器用了一种 “ 把钥匙插在保险箱 ” 上的办法来 “ 加密 ” 你保存的密码。
这就导致假如你电脑里没有火绒一类的规则安全软件的话,中了毒之后一秒就能被黑客盗走你的各种账号密码。
当时我们给大家的建议之一就是把密码导出到第三方密码本软件,他们更专业,并且普遍实行严格的加密政策。
想从他们那拿到储存的账号和密码,会更加困难。
但是……我们这脸被打的,好像有点儿快?
上周,有三千多万用户的世界知名密码管理工具 LastPass 直接整了个大活:
他们发现,大量数据库备份,其中包括用户数据以及储存的用户账号密码,被人给摸走了!
由于托尼在几年前也使用过 LastPass ,所以第一时间去官网看了一下什么情况。
一上来的消息就非常不妙:这次有很多明文的数据泄露出去了。
啥意思呢?
好消息:你的密码是加密存储的,问题不大。
坏消息:除了密码没问题,其它的都有问题,并且问题很大!
因为 LastPass 并没有给用户的注册邮箱和手机号,账单地址, IP 地址等大量关键隐私数据加密。
甚至连用户保存账号密码的网址,他们也没有加密。
我们来举个例子,假设我们的小黑胖是个 LastPass 的重度用户。
黑客拿到这次泄露的数据之后,首先可以知道小黑胖的邮箱地址和手机号 —— 不过这些信息其它平台也泄露个七七八八了。
但和以往不同的是,这次黑客还能知道小黑胖在哪些平台注册过账号!!!
这些信息乐观估计,可以用来发广告——什么人在什么网站上有账号,这可是 “ 用户画像 ” 数据啊!
更阴暗一点,则可以帮助诈骗或黑客集团 “ 精耕细作 ”,挑选受害者。
比如这样。
话说到这里,肯定也会有小伙伴儿说了:
“ 我有足够的防骗意识,而且我也没在不干净的网站上注册过账号,你说的这些情况我都不担心。”
嗯。那接下来这点,你可能该坐不住了。
因为LastPass 的加密根本没有他们说的那么无懈可击。
LastPass 要求用户设置一个主密码,用户每次想用自己存的密码,都得把它输一遍,因此这个密码必须非常难破解才够安全。
但他们曾在 2018 年被怀疑安全措施远远落后于时代,在那之后, LastPass 改进了加密方式,密钥迭代增加到了 10 万次,并且要求用户至少采用 12 位的密码。
然而令人吐血的是,这次升级实际上并不是自动进行的, LastPass 也没有强制要求那些采用不安全密码的用户更换新的密码。
结果就是很多老用户的账户既没有被升级到新的加密方法,也仍然在使用位数不够或已经泄露的旧密码。
托尼的旧账户就是其中之一,这个 2014 或 2015 年( 记不太清 )创建的账户并没有自动升级到新的加密方法,仍然在使用旧的 5000 次迭代加密。
这些不符合现代安全要求的密码很可能会在几小时到几个月内被黑客轻松批量破解,之后的故事……估计你们就该猜到了。
但是 LastPass 似乎是想淡化处理,直到今天都没有通知这些用户采取行动。
比如我就没收到任何通知。
这搞不好会加速不知情用户的赛博死亡。
而且同样有人指出,即使采用了 LastPass 官方推荐的安全手段,这次泄露仍然会给一些高价值人群带来风险。
由于用户信息的泄露,黑客完全能够知道哪些加密数据背后是 “ 有价值 ” 的 “ 客户 ”。
他们如果愿意出几十上百万美元,租上几千块显卡来破解,配合上对用户信息的了解( 大多数人不会采用完全随机的密码,总会有一些个人特色 ),真的有可能在较短时间里试出密码。
总而言之,不要相信 LastPass 这次公告中 “ 目前不需要执行任何建议的操作 ” 的建议。
应该立刻更改你的密码,只要它在 LastPass 里储存过。
同时,托尼也对 LastPass 的专业程度表示怀疑。本该加密的用户信息,为何是明文储存的?
按照宣传,数据在发送给 LastPass 之前已经加密 ▼
如果黑客得到的信息里不包括明文,那就没法从中找出某个特定的人,更别说配合用户信息来破解密码了。
我后来好好查了查 LastPass 历来的安全事件,结果发现他们家数据库好像有点儿,漏风啊。
哎,不知道这次又会有多少用户对密码管理器失去信任。
其实长久以来,世界上就没有绝对安全的一堵墙, LastPass 的友商们也许做得比它更安全,但是只要靶子立在这里,也就必然有被攻破的那一天。
估计有些小伙伴看完这条推送之后,可能就要急吼吼去销毁密码管理器里的记录,然后回归传统的 “ 脑力 ” 记忆法了。
不过在那之前的最后,对于有能力的小伙伴,我们可以试着自己用开源的 Bitwarden 或者 KeePass,搭建一个属于自己的独立密码管理器。
不知道有没有小伙伴对这个方案感兴趣的,搭过的朋友也可以在评论区跟大家交流交流经验。