你可能听说过,人们应该多多利用密码管理工具,产生独特且具有强度的密码以使用各式各样的网络服务,同时便于关注管理。如果你选择了主流的免费工具,很有可能就是最近爆发严重资料外泄事件的LastPass,那么你应该考虑重新设置所有密码,并且寻求更安全的方案。
LastPass服务全球2,560万用户,在12月22日针对8月爆出的安全事件再度说明,实情是一起大规模资料外泄事件,尤其未经授权的黑客入侵开发环境,从加密存储容器备份出客户的数据库数据,用户数据文件因此遭到外泄。
一周前LastPass提供的详细资讯足以让用户担忧,后续却没有再为用户提供更多资讯和协助,例如究竟有多少密码在这起事件遭外泄、又有多少用户受到影响。LastPass也没有明确澄清事件发生的确切时间,由于黑客通常需要一段时间才能破解数据库密钥,如果已经用了3、4个月处理到手的LastPass数据文件,对受影响的用户恐怕更严重。
这起事件中外泄的用户数据文件,包括姓名、电子邮件地址、电话号码以及一些账单资讯。LastPass长期因以混合格式存储数据库数据而受到批评,虽然密码等项目会加密,但网址连接等资讯却未加密。在这种情况下,数据库的纯文本连接可让黑客了解资料中可能有哪些值钱的东西,帮助他们确认可先破解数据库哪个部分。用户现在修改LastPass的主要密码也无济于事,因为背后保管的所有服务密码和重要资讯已被窃取。
安全专业人士纷纷呼吁大家赶紧转换其他密码管理工具,还要更新所有网络服务的密码,并采取额外措施保护自己。尽可能激活双重验证,即使黑客试图登录你的账号,没有第二道关卡的验证码输入或通过移动设备上的生物识别登录机制,也无法顺利登录你的账号。尤其针对电子邮件信箱、金融服务以及社交媒体的账号,这些属于高价值的账号。
值得注意的是,安全企业普遍强调,虽然爆发LastPass这样的资料外泄事件,但人们仍应使用密码管理工具。一般人常用过短、易记的密码,且在多个账号重复使用同一组密码,无法保障个人资讯安全,需要借助密码管理工具以产生具有强度的密码。如果你是LastPass的忠实用户,你仍应该赶紧更改主要密码,同时为所有网络服务打开双重验证。
(首图来源:Flickr/Automobile ItaliaCC BY 2.0)