LastPass 是一款免费增值密码管理器,可在云中存储加密密码,最初由 Marvasol, Inc. 公司开发。
开发者 密码管理器 LastPass的,被超过33万人和超过100.000家公司使用, 通知用户有关攻击者设法访问备份的事件 存储量 与用户数据 从服务。
数据包括访问服务的用户名、地址、电子邮件、电话和 IP 地址等信息,以及存储在密码管理器中的未加密站点名称和存储在这些站点上的登录名、密码、表单数据和加密注释.
保护登录名和密码 的网站, AES 加密与使用 PBKDF256 函数生成的 2 位密钥一起使用 基于只有用户知道的主密码,最小长度为 12 个字符。 LastPass 中登录名和密码的加密和解密仅在用户端完成,考虑到主密码的大小和 PBKDF2 的应用迭代次数,猜测主密码在现代硬件上被认为是不现实的。
为进行攻击,他们使用了攻击者在 XNUMX 月发生的最后一次攻击中获得的数据,该攻击是通过破坏其中一名服务开发人员的帐户来实现的。
XNUMX 月的攻击导致攻击者获得了开发环境的访问权限、应用程序代码和技术信息。 后来发现,攻击者使用开发环境中的数据攻击另一名开发人员,为此他们设法获得了云存储的访问密钥和用于解密存储在那里的容器中的数据的密钥。 受感染的云服务器托管了员工服务数据的完整备份。
该披露代表了对 LastPass 在 XNUMX 月份披露的漏洞的重大更新。 该出版商承认黑客“从 LastPass 获取了部分源代码和一些专有技术信息”。 该公司当时表示,客户账户中存储的客户主密码、加密密码、个人信息和其他数据没有受到影响。
256 位 AES,并且只能使用我们的零知识架构从每个用户的主密码派生的唯一解密密钥进行解密,”LastPass 首席执行官 Karim Toubba 解释说,他指的是高级加密方案。 零知识是指服务提供商无法破解的存储系统。 首席执行官继续说道:
它还列出了 LastPass 在遭到破坏后为加强其安全性而采取的几种解决方案。 步骤包括停用被黑的开发环境并从头开始重建,维护托管端点检测和响应服务,以及轮换所有可能已被破坏的相关凭据和证书。
鉴于 LastPass 存储的数据的机密性,获得如此广泛的个人数据令人担忧。 虽然破解密码哈希会占用大量资源,但这并非不可能,尤其是考虑到攻击者的方法和独创性。
LastPass 客户应确保他们已更改主密码 以及存储在您的保险库中的所有密码。 他们还应确保他们使用的设置超过默认的 LastPass 设置。
这些配置使用基于密码的密钥派生函数 (PBKDF100100) 的 2 次迭代对存储的密码进行打乱,这是一种哈希方案,可以使破解长而唯一的主密码变得不可能,并且随机生成的 100100 次迭代严重低于 OWASP 推荐的阈值 310 PBKDF000 的迭代与 LastPass 使用的 SHA2 哈希算法相结合。
LastPass 客户 他们还应该非常警惕声称来自 LastPass 的网络钓鱼电子邮件和电话 或其他寻求敏感数据的服务和其他利用您泄露的个人数据的骗局。 该公司还为已实施 LastPass 联合登录服务的企业客户提供具体指导。
最后,如果你有兴趣了解更多,可以咨询详情 在下面的链接中。