LastPass 扩展安全更新

By | 未分类 | No Comments

事件报告:2017 年 3 月 31 日(晚上 8:10) 3 月 25 日周六,Google Project Zero 安全研究员 Tavis Ormandy 报告了一个与 LastPass 浏览器扩展相关的安全问题。在过去的 24 小时里,我们针对该漏洞发布了一个更新,我们认为它能够修复所有浏览器中存在的该漏洞,并与 Tavis 本人进行了验证。 对大多数用户来说,这一更新将会自动完成。最新版本可随时从 https://www.lastpass.com/ 下载,请务必运行最新版本(4.1.44 或更高)。 虽然问题已经解决,但我们想为我们的用户群提供一份事后分析报告,介绍报告详情以及我们日后如何构建更好、更安全的 LastPass。请注意,鉴于该漏洞的性质,这份事后分析报告具有很强的技术性。 概述…

Read More

LastPass 3.3.2 火狐插件弃用计划

By | 未分类 | No Comments

  大约一年半之前,Mozilla 公布了一些即将对火狐插件实施的重大变更。为解决浏览器之间的兼容性问题,火狐及其他浏览器采用了名为 WebExtensions 的通用 API。支持通用的 API 应能够降低我们这类必须为多个浏览器构建、维护扩展的公司的跨平台开发成本。虽然推行 WebExtensions 为开发者、浏览器和用户带来了诸多好处,但我们想确定我们的 LastPass 用户群是否已准备好放弃火狐之前提供的用户体验。 一年多来,我们为火狐维护了两个版本的 LastPass。火狐插件库中仍有 3.x 发布版本,不过 LastPass.com 上已经提供了 4.x 开发人员渠道版。 虽然这让 LastPass 用户感到混乱,但我们维持“旧”版本的原意是为了保证火狐用户能够依然享有他们偏好的本地体验。同时,我们仍然根据 Mozilla 所做的变更继续推行 4.x 版本。但据最近的报道,Mozilla 将在 2017 年年底专门推行…

Read More

LastPass 安全挑战问题针对受 Cloudflare 漏洞影响的网站发出的警示

By | 未分类 | No Comments

担心“Cloudbleed”漏洞吗?LastPass 安全挑战问题现已确认最有可能受近期 Cloudflare 安全漏洞影响的网站(在 Alexa 排名前 10,000 的受影响网站)。LastPass 为您突出显示受影响网站,帮助您排定密码的优先顺序并更新密码。只需从您的 LastPass 密码库左面板启动安全挑战问题,或立即启动安全挑战问题,即可保护您的密码安全:   Cloudflare 出现了什么问题? Cloudflare 是一项为 550 多万家网站提供安全性和性能优化的服务;上周,其向客户发出警告,某个漏洞可能会泄露用户的敏感信息。受影响的数据包括验证用户身份所用的密码、Cookie 和令牌。如需了解详情,请查阅其博客文章。 您是否需要担心? 由于 Cloudflare 支持的网站众多,包括 Medium、Namecheap 和 Change.org 等各大站点,该漏洞的影响十分广泛。但是,Cloudflare 已经表示,漏洞自身的实际影响相对较轻,每一条数据面临的风险并不高。尽管现在漏洞已经修复,但是自 2016 年…

Read More

两则安全公告:SHA-1 碰撞攻击和 Cloudflare 事件

By | 未分类 | No Comments

在安全领域,唯一的不变就是变化。随着技术的进步,我们努力致力于先人一步,确保您的信息安全。我们社区的许多人可能对最近发生的两件突发事情颇为关注,在此我们将回答您的相关问题,让您知道作为 LastPass 用户需要了解的情况。 Cloudflare 概要:LastPass 没有使用 Cloudflare,并且不会受近期安全事件的影响。 事件详情:Cloudflare 是一家 SaaS 公司,致力于帮助优化网站的安全性和性能。2 月 23 日星期四,该公司向客户通告了一个近期修复的漏洞(由 Google 研究人员 Tavis Ormandy 披露)。虽然该漏洞可能会漏泄一系列敏感信息,但我们可以确认的是,LastPass 没有使用 Cloudflare,并且不会受其影响。 但是,LastPass 用户也可能在使用 Cloudflare 的网站上创建了帐户。因此,如果您所使用的任何服务表示其已经受到此漏洞的影响,我们建议您更新密码。虽然对这些帐户的风险很小,但仍然建议您更新密码,以保安全。 SHA-1 碰撞攻击 概要:知道我们的哈希和网站万无一失,可以让 LastPass 用户感到很放心。对于创建密码哈希,LastPass…

Read More

LastPass 企业管理员的强大报告功能

By | 未分类 | No Comments

针对密码安全,企业所面临的一大挑战即是如何维护问责制和可追溯性。即便企业制定了书面的密码政策,要想从技术层面出发,确保所有员工在日常工作中使用网站和应用程序时都能绝对遵守企业政策方针,这依旧不太现实。而倘若员工共享帐户,尤其是特权帐户,那么问责制和合规性的实施将面临更大挑战。纵然再苦心维持企业各方面的安全性,但要是低强度和使用不当的密码一经探测系统识别,就能瞬间摧毁之前部署的所有安全措施。 今天,我们将对 LastPass Enterprise 管理员仪表盘的报告功能更新作简要介绍。借助改进设计和全新报告选项,管理员可以更加准确地管理员工的密码操作,并可针对整个组织的所有活动提供全面的审核追踪。这些报告具有更强的实用性和可执行性,能够协助管理员及早发现问题,将问题扼杀在摇篮中。管理员可在今后几天内看到此更新。 改良版工作流程的全新设计 LastPass Enterprise 管理员只需登录管理员仪表板,并打开“报告 (Reports)”选项卡,即可立刻看到更新后的设计。为了与 2016 年年底推出的 Enterprise 4.0 和 LastPass Teams 新界面相匹配,“报告”选项卡启用了全新外观,以提升用户体验。 管理员可轻松自定义日期范围,选择不同的过滤器读取共享凭据、用户登录活动、管理员活动等相关报告。点击活动日志中的具体项目,即可打开右侧工作栏,以查看该活动的更多详情。 安全报告功能介绍 我们新增了一项安全报告,包含之前隐藏于管理员仪表板“通知” 选项卡中的数据。在过去,针对不符合安全规范的员工,譬如打开了多因素验证,或是密码库中存在过多的重复密码,管理员可利用通知来自定义安全邮件警报。 现在,邮件依旧存在于通知选项卡中,但管理员可通过新的安全报告来查看涵盖所有不合规用户的报告。报告会显示各关注区域中受影响用户的数量,以及被标记用户所占的百分比。如此一来,管理员便可有针对性地快速了解到可能会触发邮件警报的突出问题,从而采取相应措施,纠正这些不当行为。 管理员可点击涉及一名或多名受影响用户的安全报告项目。相应的用户列表也会显示于右侧工作栏中。管理员可导出该列表,并直接联系相关用户,共同解决存在的安全问题。 对于将 LastPass 作为其密码安全策略核心的企业来说,该安全报告功能可谓至关重要。同时,针对想要评测该策略,并计划部署于整个组织系统的企业,同样是息息相关。管理员可识别关注区域内未遵守相关规范的用户,快速扫描出潜在安全问题,从而更好地保护企业免受威胁。 全新登录报告 我们新增了登录报告功能,其附带的图表和活动日志可为管理员提供企业帐户中所有用户在过去七天的活动记录。用户是否成功使用 LastPass,管理员一目了然。…

Read More

LastPass 通过 SOC 2 认证!

By | 未分类 | No Comments

我们将自豪地宣布,LastPass 正式获得了 SOC 2 认证报告。下面来直白地说明该科技新闻:为确保我们满足特定标准,第三方(本例中为 RSM US LLP)对我们的安全和数据实践进行了严格的审计。而且我们成功通过了审计! SOC 2 为何如此重要?SOC 2 审计详细概述为确保我们的产品和系统安全可靠而采用的控制和流程。这包括确保我们系统处理的数据的适当机密性和系统的可用性。其重要性还不止于此。每年,我们必须进行年度审查以确保 SOC 2 保持合规。 完成 SOC 2 流程只是我们展现我们对安全和隐私保护的承诺的又一种方式。我们知道,这一成就对于 25,000 家使用 LastPass Enterprise 来保护密码和监督员工身份验证的企业意义非凡。对于在美国各行各业广受认可的软件公司,这是一个“黄金标准”。我们为能够获得这一认证感到自豪。 安全与隐私是 LastPass 提供的基本保障。我们不断随着数字世界的发展进行安全方面的投资,这样我们便能够帮助您保护最重要的资料。我们希望通过完成 SOC 2 认证来进一步展现我们对贵企业安全性的奉献,并增强您对我们团队和服务的信任。我们会继续努力工作,为您在家庭和工作环境中提供最佳的密码管理器!

Read More

在任意地点使用 LastPass:多设备访问现已免费!

By | 未分类 | No Comments

我很高兴地宣布,从今天开始,您可以在任意地点的任意设备上免费使用 LastPass 了。不论您需要在哪里输入密码 — 您的台式机、笔记本电脑、平板电脑或手机上 — 您都可以免费使用 LastPass 为您同步密码。您通过某一设备保存到 LastPass 上的一切,都可立即在您的任何其他设备上供您使用。 自推出 LastPass 的第一天起,我们就将简化您的在线生活,以及使您能更轻松地实现超强的密码安全性作为自己的使命。通过免费提供跨所有设备的 LastPass,我们想让任何人都能够更轻松地将养成好的密码习惯变成一种常态。因为有一款密码管理器能随时随地陪伴着您,您才有了实现身份安全保护与管控的坚实基础。 回顾 2008 年我们刚推出 LastPass 时,已是另一幅光景。iPhone 在 2007 年才问世,甚至没有 App Store,而 Android 设备根本还不存在。而现在,基本上在我们生活中的所有方面,不管是在家还是在办公地点,都连接着云端并且跨多种设备进行使用。已经没有“在线”生活和“离线”生活之别 — 生活就是这样,技术无缝地贯穿在我们的日常生活体验中。在今天的互联世界中,我们相信利用 LastPass…

Read More

您唯一需要的验证应用程序

By | 未分类 | No Comments

今天,我们正式推出更新版 LastPass Authenticator,这是第一款推送式验证应用程序,一键式体验让您能够轻松验证您在各大热门网站的身份,包括 Google、Amazon、Evernote 等。 使用双因素验证工具是确保在线帐户安全的最可靠的方式之一,但过程可能较为复杂。现在,凭借 LastPass Authenticator,您将能够以最为简便的方式添加第二层验证,而无需增加登录过程的复杂性。LastPass Authenticator 的一键式推送通知可方便任何用户快速验证其在线帐户——而无需耽误一天的日程。 更出众的双因素体验 现在,用户在 iOS 或 Android(该新功能不适用于 Windows Phone)上使用 LastPass Authenticator,只需点击推送至其手机上的认证通知,即可验证身份,完成登录,而无需输入六位数代码以授权登录。 观看此短片,了解如何快速简单地完成验证过程: 要对其他网站的双因素验证启用推送通知,只需确保在 浏览器中安装了 LastPass 并登录 LastPass 帐户,然后将 LastPass Authenticator 与您所选的网站进行配对。 如需了解如何设置 LastPass Authenticator,请参阅此处的文章。 多合一 此更新版继续奉行我们的使命:即为用户提供简单、安全的验证。作为…

Read More

新研究:鲜为人知的安全诀窍

By | 未分类 | No Comments

一直以来,安全业内人士和 IT 专业人士都在强调双因素验证 (2FA) 的安全优势。不过,根据 LastPass 近期的一项消费者调查,70% 的人并未使用或根本不知道 2FA。2FA 既能提高安全性,又能阻止在线攻击,然而即便是如此简单的方法,很多人仍旧是一无所知。 在调查中,我们采访了 2,000 名消费者,询问他们是否使用 2FA。仅有 30% 的受访者表示他们在部分或所有个人或专业帐户中使用 2FA 解决方案。还有 29% 的受访者表示从未用过 2FA,而 41% 的人称根本不知道 2FA 是什么。 调查结果显示,受访者之所以不使用 2FA 解决方案,主要原因是大部分人 (52%) 不清楚其工作原理。很显然,当前的 2FA…

Read More