线上密码管理能让您在浏览每一个网站及服务时，自动填入个别密码，使您的生活更加简便。它是非常便利的工具，除非遭到骇客入侵。在此情况下，只要解开一个密码，网路犯罪者能存取有价值的资讯，包含银行交易凭证。

 

 

LassPass是广泛使用的密码管理器，最近被揭露有一个网路漏洞。攻击者侵入使用者的电子邮件位址、密码提示、各别使用者的扰乱值(salts)及验证散列(hashes)数值。密码本身并未受到破坏，因为该服务并未将密码储存于云端。尽管如此，LassPass仍建议用户更换LastPass主密码，并启动多重要素验证。

 

 

 

让我们对这家公司给予信任：当LassPass发现了漏洞，它立即发布了公开警告。对骇客有利的是，大部分公司会试著隐藏存在漏洞的秘密，但他们并没有这么做。

 

 

尽管如此，漏洞的潜在后果似乎尚不明朗。LassPass的执行长及创办人声称此意外事件将不会影响「绝大多数的用户」。部分的研究人员也支持这个说法，声明对于使用强密码的用户而言并无风险。

 

其他的研究人员则考量到此漏洞可能造成恶意行为针对LastPass用户的新一波攻势。骇客利用真实的电子邮件位址伪装，能够发动针对性的钓鱼攻击，骗取缺少的资料。例如，LastPass建议用户更换他们的主密码。

 

 

 

如何阻止网路犯罪者伪装成官方寄送大量的诈骗信件给LastPass用户呢？当大众收到由「开发者」寄送其中含有警告及建议，看似正常的信件时，他们很容易就会依照网页连结更换他们的主密码，直接把主密码送到网路犯罪者手上。

 

对于LastPass用户，以下是我们的建议：

 

1. 依照官网的建议：更改您的主密码，并启动多重要素验证。若您在其他如社群网站及电子邮件网站也启用此功能，绝对是一件好事。
2. 请勿直接点击声称由LastPass寄发电子邮件内的网页连结。这些信件有可能是假的，在您的浏览器上的网址列手动输入网址较佳。
3. 确保您不在其他的网站，使用同一组主密码。最好是利用不同的密码登入不同的服务。

 

 

这不是LastPass头一次面临安全问题。去年夏季加州柏克莱大学揭露了五个密码管理服务商存在的安全漏洞，LastPass亦在此列。其他四家厂商分别为RoboForm、My1Login、PasswordBox及NeedMyPassword。

 

您或许了解，世界上没有完美的防护方案。公司需要冒著损失客户的风险，勇于承担责任，并揭发违失事件。某些LastPass的客户会转换至其他的服务商，而其他的客户不管发生什么事，仍会维持其产品忠诚度。

 

 

 

若您仍然考虑更换新的密码管理厂商，我们不禁要推荐一个受到大家肯定的－卡巴斯基密码管理器。我们不储存使用者的密码，故无法由卡巴斯基的伺服器窃得密码资料。

 

 

 

原文出处：https://blog.kaspersky.com/lastpass-calls-for-master-password-reset/

 

作者：Marvin the Robot