密碼管理器有兩個主要作用:確保密碼安全,並使填寫密碼變得容易。其他一切都是次要的。為了盡可能方便,LastPass 和 1Password 都將您的所有登入資訊儲存在其伺服器上。它應該被加密並受到良好的保護,因此考慮到這一點,有必要退後一步,看看一年多前 LastPass 駭客攻擊所造成的持續影響。
2022 年 8 月,LastPass 披露,一名駭客入侵了一個開發者帳戶並獲得了對其開發環境的存取權。它聲稱已經控制了違規行為並採取了緩解措施。 9 月,該公司宣布調查已完成,一切順利,沒有證據顯示任何客戶資料或加密 新加坡電報電話號碼列表 金庫外洩。這對一家安全公司來說是令人尷尬的,但這並不是該公司第一次遭到駭客攻擊——而且這是一次危害較小的攻擊。
隨後,11 月底,LastPass 宣布其第三方雲端儲存服務之一「利 V 用 2022 年 8 月事件中獲得的資訊」遭到駭客攻擊,駭客已取得了部分客戶資訊。什麼訊息?直到 12 月 22 日,LastPass 才坦白:駭客擁有客戶保險庫資料的備份。
保險庫資料庫中的某些欄位(如密碼)已加密,但其他欄位(如電子郵件地址、電話號碼、客戶存取 LastPass 時使用的 IP 位址以及帳單位址)則未加密。無論駭客是否能夠破解密碼,他們仍然擁有每個受影響的 LastPass 用戶的大量個人和身分資料。
即使加密的密碼也不一定安全。 LastPass多年來一直因其安全預防措施不足和無法更新舊帳戶而受到批評。如果最近擁有 LastPass 帳戶的人遵循最佳實踐並使用強大、唯一的主密碼,他們的資料可能仍然是私有的(除了所有未加密的識別內容)。但是,如果您有一個較舊的 LastPass 帳戶、重複使用或使用不安全的主密碼,或者是一個特別誘人的目標?駭客可以直接存取您的加密保管庫,並且可以嘗試破解您的主密碼,只要他們願意。
他們確實破解了主密碼。 2023 年全年,發生了一系列針對 LastPass 用戶的加密貨幣竊盜案。數十名受害者總共被盜了超過3500 萬美元,其中許多人使用的是可靠的安全協議。一個共同點是,它們都在 LastPass 中儲存了一個重要的加密帳戶標識符,稱為「種子短語」。