一般人常用过短、易记的密码,并在不同账号重复使用同一组密码,无法保障个安全全,这时需要借助密码管理工具以产生具有强度的密码。但当密码管理工具也频频爆出安全问题,使用上必须打开保护措施以防账号窃用。
数以千计的诺顿LifeLock(Norton LifeLock)客户账号最近几周边入侵,母公司Gen Digital指出,早在去年12月1日曾发现入侵客户账号的迹象,比在12月12日系统侦测到大量客户账号登录失败约早两个星期,黑客可能取得存放在密码管理工具的重要资讯。
Gen Digital认为黑客可能采取撞库攻击,利用其他漏洞窃取的用户账号和密码,以自动化方式不断试图登录诺顿LifeLock服务,直到成功为止,使用相同密码登录不同服务的客户就有被入侵的风险。不过,诺顿LifeLock有提供双重验证允许客户自行激活,这种做法可以阻止黑客使用窃取而来的密码直接登录账号。
“在使用你的用户名称和密码访问你的账号时,未经授权的第三方可能已经查看你的名字、姓氏、电话号码和电子邮件信箱”,诺顿LifeLock资料外泄通知说明这个可能性,并向大约6,450名账号被盗用的客户发出警告。
诺顿LifeLock服务提供身份保护和网络安全,这起事件涉及窃取客户密码。今年稍早LastPass证实资料外泄事件,未经授权的黑客入侵其开发环境,从加密存储容器备份出客户的数据库数据。企业密码管理工具Passwordstate也在2021年遭受黑客攻击,该公司向客户推送的软件更新受病毒感染,使黑客能够进一步窃取客户密码。
为了保障个人资讯安全,安全专家普遍建议一般用户应使用密码管理工具,以产生具有强度的密码。但是密码管理工频频爆发安全事件,用户仍需要采取如双重验证登录等保护措施,以防止资料外泄造成的伤害。
(首图来源:Norton LifeLock,CC BY-SA 4.0, via Wikimedia Commons)