LastPass 确认黑客在四个月前窃取了加密密码库

跟踪我们所有的密码是一件困难的事情，尤其是因为在多个帐户中重复使用它们是一种不好的做法，它们还必须强大且难以猜测。我们最好的解决方案是使用密码管理器，这样我们可以获得强大且难以猜测的密码，并且我们避免了记住所有密码的麻烦（顺便说一句，我不能），它们都在一个地方，但是如果您的密码管理器存在安全漏洞并且您的密码库被泄露，会发生什么情况？那是四个月前发生的事，他们现在才告诉你。

快速回顾正在发生的事情

2022 年 8 月 25 日

LastPass 发布了一份官方说明，称他们在两周前注意到一项异常活动并开始调查，但没有证据表明访问了任何客户数据。显然，攻击者只能通过开发环境访问部分源代码。

2022 年 9 月 15 日

他们与Mandiant团队一起完成了调查和取证，在完成调查后，他们得出结论认为，攻击者的活动仅限于 8 月的 4 天时间范围内，并且该团队迅速控制了事件。

同样根据他们的调查，违规发生在开发环境中，从技术上讲，开发环境无法访问客户数据或密码库。

即使可以访问用户的加密密码保险库，没有用户的主密码也无能为力，这是他们的零知识安全模型的一部分（不过请记住最后一句话）

2022 年 11 月 30 日

作为其透明度承诺的一部分，他们更新了违规情况，表示他们注意到第三方云存储服务上的异常活动，该服务由 LastPass 和 GoTo 共享，他们再次与 Mandiant 展开调查团队。

这次他们表示，8 月份发生的漏洞实际上让攻击者可以访问客户信息的“某些元素”，但由于他们的零知识安全模型，所有密码都是安全的。

现在发生了什么？

这一天是 2022 年 12 月 22 日，LastPass 向公众宣布，在 8 月的安全漏洞中，攻击者能够获取个人身份信息，包括公司名称、最终用户名、电子邮件、账单地址、电话号码和 IP 地址，还有，等等，密码库。 🤯

根据 LastPass 的说法，考虑到您已遵循他们的所有指南来保护主密码的创建，您的密码库是完全安全且无法破解的。

目前没有证据表明任何未加密的信用卡数据已经泄露，在这一点上，我很担心，因为他们花了 4 个月才向公众公开说 PII 和密码库在攻击者手中。

您可以在此处查看整个事件通知

我的密码有多安全？

如果您遵循整个 LastPass 密码创建指南，您可能是安全的，攻击者将开始使用包含数十亿个已泄露密码的字典（RockYou2021 字典有令人难以置信的 84 亿个密码）来加速此过程。

攻击者也可能会尝试暴力破解您的密码，但如果您认为这会花费很长时间，请三思。随着技术的发展，它也减少了破解密码的时间，RTX 3090 和 RTX 4090 之间的跳跃几乎是每种算法的两倍。

你可能想知道那么有人破解一个复杂的密码需要多少时间，有人实际测试了最新的硬件，他们使用 RTX 4090 8 卡钻机并且能够破解一个高度复杂的 8 位密码根据这篇BitDefender文章，使用 Hashcat 在 48 分钟内完成。

因此，为了更加确保您的帐户安全，强烈建议您更改存储在 LastPass 中的所有帐户密码，包括您的主密码。