保护 LastPass 用户,避免密码重复使用

By June 29, 2016 未分类 No Comments

你们可能已多次在新闻中看到,在最近几个星期,很多像 LinkedInMySpace 的大品牌 ,近来都遭遇了数据泄露和安全事故的问题。不幸的是,像此类的大型数据泄露,导致数百万的用户名和密码被窃取,可能被任何人滥用。而对于攻击者来说,他们利用这些凭据的最简单方法就是系统地尝试用相同的用户名和密码组合登陆到其他的网站。

由于人们重复使用密码太过频繁,攻击者能够用一种所谓的“密码重复使用攻击”很快访问到您在其他网站上的账号。新的网站本身没有安全问题,但现在它们的用户正因为他们在各种网站上都使用相同的密码而处于危险之中。我们的产品有幸成为市面上最受欢迎的密码管理器之一,但这并不意味着我们的服务就不会遭受这些攻击。再加上人们复用密码实在太过习以为常(尽管危险),我们需要尽一切努力来保护我们的用户,即便这意味着要防范用户本身。

这就是为什么我们的安全工程师团队在其他网站被入侵的时候一直在监控网络上用户名和密码泄露的情况。每当我们发觉有新的泄露的时候,我们会立即获取泄露的用户名和密码名单,并在我们自己的用户数据库中扫描这些信息,确认泄露中的帐号是否有 LastPass 的帐号。如果发现有此类帐号,我们会立即禁用此帐号以保护用户的保险库。这正是 LastPass 团队为积极保护我们的用户行动而在这些年一直做的事情。

采取了哪些步

以最近发生的 LinkedIn 事故例,数据外泄发生在几年前,而用户名和密码名单直到现在才泄露到网上。作为回应,我们禁用了所有发现与已泄露凭据匹配的 LastPass 用户帐号。我们要澄清的是,LastPass 方面没有违约或安全问题这只是我方为保护在其他被攻破的网站上重复使用密码的用户而采取的主动措施。

LastPass 知道我的主密码吗

不,LastPass 从来不知道您的主密码。当密码从其他网站上泄露后,LastPass 会通过模拟登录尝试的脚本来运行那部分数据。脚本会进行标准的 PBKDF2 哈希运算,这是 LastPass 在您每次登录的时候使用的工具,可以让我们知道您输入的密码是否正确。然后我们会把脚本的结果与存储在我们数据库中的密码哈希值进行比较。如果密码哈希值匹配,我们就知道这个密码被复用到了 LastPass 帐号中,然后此账号就会被禁用。

LastPass 用做什么呢?

如果您的帐号被禁用了,系统将提示您在一个可信位置上进行登录以验证并重新启用您的帐号。要重新启用您的帐户:

1.通过网络保险库 https://lastpass.com/ 进行登录

2.系统将触发重新启用流程

3.通过在拓展程序或网页保险库中登录,我们会指导您重设您的主密码。

当尝试登录时,如果您看到提示帐号已停用的信息,请前往 https://lastpass.com 开始验证流程。如果您从未知设备或新地点登录,您将被重定向到之前的信任设备或从之前您帐号登录时的地点(IP 地址)进行登录。

完成后,您就可以解锁您的帐号,并把您的主密码改成更安全的新密码了。

我们强烈推荐使用 LastPass 安全验证问题 来扫描您复用了密码的网站上的保险库。LastPass 能帮您用安全、唯一的密码来替换这些复用密码。即便您没有复用过 LastPass 的主密码,也建议您此时设置安全验证问题,并且确保您使用的每一个网站上都有不同的密码了。