《華爾街日報》：LastPass遭黑客入侵後，你還能信任密碼管理器嗎？

Nicole Nguyen

2023-03-12

一名黑客成功攻擊了領先的密碼管理器LastPass。自該黑客事件公開以來，我收到許多讀者詢問：如果密碼管理器都能被黑，我們還能信任它們嗎？

我之前曾向您介紹過這些服務的價值，它們能為您的各種賬户生成並存儲高強度且唯一的密碼。隨着網絡攻擊日益猖獗，安全專家表示，使用密碼管理器是為數字生活提供保護的最佳方式之一，同時還需為賬户啓用雙重認證。

儘管聽起來有些諷刺，但LastPass被黑事件恰恰證明：只要您的主密碼不易被猜中，這些系統確實能保障登錄憑證安全。該事件也提醒我們，並非所有密碼管理器都具備同等級別的安全性，選擇時需進行充分調查。

首先回顧事件。LastPass近期公佈了關於2022年8月數據泄露的更多細節。首次入侵引發了二次攻擊，而第二次攻擊後果嚴重。身份不明的攻擊者遠程訪問了客户保險庫的備份數據——這些加密數據包包含網站登錄憑證、支付信息、安全筆記等內容。

所有在9月16日或當天仍活躍的LastPass賬户均受此次事件影響，涉及數百萬用户和超10萬家企業。

這是否意味着客户的主密碼（用於訪問加密保險庫的唯一密碼）或存儲在LastPass中的密碼在此次攻擊中被獲取？我詢問了去年四月加入公司的LastPass首席執行官卡里姆·圖巴，他給出了否定回答。

“這些保險庫數據採用零知識架構技術加密，該技術依然安全可靠，“他表示。

去年八月，黑客入侵了存儲登錄信息、支付數據和安全筆記的LastPass客户加密保險庫。圖片來源：LastPass翻譯説明：您賬户的主密碼並未存儲在LastPass服務器上，因此黑客或LastPass員工均無法獲取。這種"零知識"模式是所有安全密碼管理器（包括我下文推薦的服務）的運作基礎。

黑客可能嘗試猜測用户的主密碼。圖巴先生表示，自2018年起公司已強制要求客户使用長而複雜的主密碼，以增強其抗猜測和破解能力。

他表示採用此類密碼的用户安全性較高。但2018年前註冊的賬户不受此要求約束，可能存在風險。早期用户應加強其主密碼強度。

LastPass還建議早期用户調整一項高度複雜的加密設置——請相信我，此處省略技術細節——這引發質疑：為何公司會向用户開放此權限？圖巴先生稱LastPass正在重新評估該設置。

你需要了解的是：擁有新賬户和強主密碼的LastPass客户可能仍能免受密碼泄露的影響。但令人不安的是，該公司保留了未加密的其他客户數據。

黑客複製了一個包含用户賬單地址、電子郵件地址以及電話號碼的數據庫。黑客還獲取了與用户登錄信息相關的網址（即URL），這些網址被存儲以便LastPass知道自動填充憑證的網站或應用程序。這意味着黑客可以看到LastPass用户在線上的賬户（例如他們的銀行或手機服務提供商）。

攻擊者可能沒有特定網站或應用程序的用户名和密碼，但知道網址意味着他們可以通過偽造的版本欺騙受害者。Toubba先生表示，公司正在努力加密URL和其他客户信息。

他補充説，LastPass正在投入數百萬美元加強其安全性。“這不是一次性的投資，”Toubba先生説。“我們有信心將問題轉化為優勢。”

將所有數字雞蛋放在一個籃子裏還安全嗎？

“賬户安全的最佳策略是使用密碼管理器，但你需要結合其他保護措施，”BlackCloak創始人Chris Pierson説，該公司專注於高管的數字安全。

他補充説，他認為LastPass用户應該轉向其他提供商。

對於儘可能多的網頁和應用賬户，你還應該使用雙重認證——即除了密碼外，還需要一個有時效性的驗證碼或應用推送提醒才能獲得訪問權限。

“如果沒有這個措施，再強的密碼也毫無意義，”皮爾遜博士説。

密碼管理器確實很棒。不僅為了安全，還為了方便。它們能在電腦和移動設備上自動填充憑證、信用卡號和其他數據，使登錄和在線購物更加便捷。

最優質的付費選擇是1Password和Dashlane。Bitwarden提供功能較少的可靠免費方案。迄今為止，這些服務均未傳出被黑客入侵的消息。但推薦它們的理由還不止於此。

1Password的Watchtower功能會向用户發出數據泄露及密碼重複使用或脆弱的警報。圖片來源：1Password與LastPass不同，這三家服務對保險庫中存儲的所有內容進行加密，包括與每個賬户登錄關聯的網址。1Password還要求用户從新設備登錄時輸入34位字符的密鑰。

我之前推薦過蘋果和谷歌的免費內置密碼管理器。它們確實很方便。但我不建議用它們來保護你最關鍵的密碼。

正如我的同事喬安娜·斯特恩和我最近撰文所述，這些密碼管理器僅受手機密碼保護。一個有心的小偷如果看到你輸入密碼，就能訪問你的整個數字生活。

無論你選擇哪種方式，請記住：主密碼是關鍵。要設置得長且複雜，最好使用密碼生成器。不要重複使用它，也不要丟失它。另外，保持所有電腦和手機軟件更新。LastPass被黑是因為攻擊者利用了一個漏洞，該漏洞存在於員工個人筆記本電腦上過時版本的媒體播放器中。黑客安裝了鍵盤記錄器，記錄了員工的公司憑證。

如果這次入侵證明了什麼，那就是密碼是個麻煩。1Password、Dashlane、Bitwarden甚至LastPass正在從主密碼轉向生物識別或物理安全密鑰。希望互聯網的其他部分也能跟進。畢竟，下一次大規模黑客攻擊隨時可能發生。

更多《華爾街日報》科技分析、評論、建議和頭條新聞，請訂閲我們的每週通訊。

寫信給Nicole Nguyen，郵箱：[email protected]

刊登於2023年3月13日的印刷版，標題為《密碼管理器基本安全，但仍有風險》。