All posts by Amber Gott

LastPass 安全挑战问题针对受 Cloudflare 漏洞影响的网站发出的警示

By | 未分类 | No Comments

担心“Cloudbleed”漏洞吗?LastPass 安全挑战问题现已确认最有可能受近期 Cloudflare 安全漏洞影响的网站(在 Alexa 排名前 10,000 的受影响网站)。LastPass 为您突出显示受影响网站,帮助您排定密码的优先顺序并更新密码。只需从您的 LastPass 密码库左面板启动安全挑战问题,或立即启动安全挑战问题,即可保护您的密码安全:   Cloudflare 出现了什么问题? Cloudflare 是一项为 550 多万家网站提供安全性和性能优化的服务;上周,其向客户发出警告,某个漏洞可能会泄露用户的敏感信息。受影响的数据包括验证用户身份所用的密码、Cookie 和令牌。如需了解详情,请查阅其博客文章。 您是否需要担心? 由于 Cloudflare 支持的网站众多,包括 Medium、Namecheap 和 Change.org 等各大站点,该漏洞的影响十分广泛。但是,Cloudflare 已经表示,漏洞自身的实际影响相对较轻,每一条数据面临的风险并不高。尽管现在漏洞已经修复,但是自 2016 年…

Read More

两则安全公告:SHA-1 碰撞攻击和 Cloudflare 事件

By | 未分类 | No Comments

在安全领域,唯一的不变就是变化。随着技术的进步,我们努力致力于先人一步,确保您的信息安全。我们社区的许多人可能对最近发生的两件突发事情颇为关注,在此我们将回答您的相关问题,让您知道作为 LastPass 用户需要了解的情况。 Cloudflare 概要:LastPass 没有使用 Cloudflare,并且不会受近期安全事件的影响。 事件详情:Cloudflare 是一家 SaaS 公司,致力于帮助优化网站的安全性和性能。2 月 23 日星期四,该公司向客户通告了一个近期修复的漏洞(由 Google 研究人员 Tavis Ormandy 披露)。虽然该漏洞可能会漏泄一系列敏感信息,但我们可以确认的是,LastPass 没有使用 Cloudflare,并且不会受其影响。 但是,LastPass 用户也可能在使用 Cloudflare 的网站上创建了帐户。因此,如果您所使用的任何服务表示其已经受到此漏洞的影响,我们建议您更新密码。虽然对这些帐户的风险很小,但仍然建议您更新密码,以保安全。 SHA-1 碰撞攻击 概要:知道我们的哈希和网站万无一失,可以让 LastPass 用户感到很放心。对于创建密码哈希,LastPass…

Read More

LastPass 企业管理员的强大报告功能

By | 未分类 | No Comments

针对密码安全,企业所面临的一大挑战即是如何维护问责制和可追溯性。即便企业制定了书面的密码政策,要想从技术层面出发,确保所有员工在日常工作中使用网站和应用程序时都能绝对遵守企业政策方针,这依旧不太现实。而倘若员工共享帐户,尤其是特权帐户,那么问责制和合规性的实施将面临更大挑战。纵然再苦心维持企业各方面的安全性,但要是低强度和使用不当的密码一经探测系统识别,就能瞬间摧毁之前部署的所有安全措施。 今天,我们将对 LastPass Enterprise 管理员仪表盘的报告功能更新作简要介绍。借助改进设计和全新报告选项,管理员可以更加准确地管理员工的密码操作,并可针对整个组织的所有活动提供全面的审核追踪。这些报告具有更强的实用性和可执行性,能够协助管理员及早发现问题,将问题扼杀在摇篮中。管理员可在今后几天内看到此更新。 改良版工作流程的全新设计 LastPass Enterprise 管理员只需登录管理员仪表板,并打开“报告 (Reports)”选项卡,即可立刻看到更新后的设计。为了与 2016 年年底推出的 Enterprise 4.0 和 LastPass Teams 新界面相匹配,“报告”选项卡启用了全新外观,以提升用户体验。 管理员可轻松自定义日期范围,选择不同的过滤器读取共享凭据、用户登录活动、管理员活动等相关报告。点击活动日志中的具体项目,即可打开右侧工作栏,以查看该活动的更多详情。 安全报告功能介绍 我们新增了一项安全报告,包含之前隐藏于管理员仪表板“通知” 选项卡中的数据。在过去,针对不符合安全规范的员工,譬如打开了多因素验证,或是密码库中存在过多的重复密码,管理员可利用通知来自定义安全邮件警报。 现在,邮件依旧存在于通知选项卡中,但管理员可通过新的安全报告来查看涵盖所有不合规用户的报告。报告会显示各关注区域中受影响用户的数量,以及被标记用户所占的百分比。如此一来,管理员便可有针对性地快速了解到可能会触发邮件警报的突出问题,从而采取相应措施,纠正这些不当行为。 管理员可点击涉及一名或多名受影响用户的安全报告项目。相应的用户列表也会显示于右侧工作栏中。管理员可导出该列表,并直接联系相关用户,共同解决存在的安全问题。 对于将 LastPass 作为其密码安全策略核心的企业来说,该安全报告功能可谓至关重要。同时,针对想要评测该策略,并计划部署于整个组织系统的企业,同样是息息相关。管理员可识别关注区域内未遵守相关规范的用户,快速扫描出潜在安全问题,从而更好地保护企业免受威胁。 全新登录报告 我们新增了登录报告功能,其附带的图表和活动日志可为管理员提供企业帐户中所有用户在过去七天的活动记录。用户是否成功使用 LastPass,管理员一目了然。…

Read More

LastPass 通过 SOC 2 认证!

By | 未分类 | No Comments

我们将自豪地宣布,LastPass 正式获得了 SOC 2 认证报告。下面来直白地说明该科技新闻:为确保我们满足特定标准,第三方(本例中为 RSM US LLP)对我们的安全和数据实践进行了严格的审计。而且我们成功通过了审计! SOC 2 为何如此重要?SOC 2 审计详细概述为确保我们的产品和系统安全可靠而采用的控制和流程。这包括确保我们系统处理的数据的适当机密性和系统的可用性。其重要性还不止于此。每年,我们必须进行年度审查以确保 SOC 2 保持合规。 完成 SOC 2 流程只是我们展现我们对安全和隐私保护的承诺的又一种方式。我们知道,这一成就对于 25,000 家使用 LastPass Enterprise 来保护密码和监督员工身份验证的企业意义非凡。对于在美国各行各业广受认可的软件公司,这是一个“黄金标准”。我们为能够获得这一认证感到自豪。 安全与隐私是 LastPass 提供的基本保障。我们不断随着数字世界的发展进行安全方面的投资,这样我们便能够帮助您保护最重要的资料。我们希望通过完成 SOC 2 认证来进一步展现我们对贵企业安全性的奉献,并增强您对我们团队和服务的信任。我们会继续努力工作,为您在家庭和工作环境中提供最佳的密码管理器!

Read More

新研究:鲜为人知的安全诀窍

By | 未分类 | No Comments

一直以来,安全业内人士和 IT 专业人士都在强调双因素验证 (2FA) 的安全优势。不过,根据 LastPass 近期的一项消费者调查,70% 的人并未使用或根本不知道 2FA。2FA 既能提高安全性,又能阻止在线攻击,然而即便是如此简单的方法,很多人仍旧是一无所知。 在调查中,我们采访了 2,000 名消费者,询问他们是否使用 2FA。仅有 30% 的受访者表示他们在部分或所有个人或专业帐户中使用 2FA 解决方案。还有 29% 的受访者表示从未用过 2FA,而 41% 的人称根本不知道 2FA 是什么。 调查结果显示,受访者之所以不使用 2FA 解决方案,主要原因是大部分人 (52%) 不清楚其工作原理。很显然,当前的 2FA…

Read More

使用我们的自定义安全笔记模板 DIY

By | 未分类 | No Comments

今天我们将介绍一种自定义 LastPass 体验的全新方法:自定义安全笔记模板!现在,您可以在安全笔记中创建自定义模板,按照您所需的方式排列多个类型的字段,以及随意添加或减少字段。 安全笔记长期以来便是线上和线下存储日常生活琐碎工作的便捷方式。这包括信用卡号码、驾照和保险卡卡号,更可用于护照副本或无线网络密码。您钱包、手提袋中或记录在便利贴上的任何信息都可以使用 LastPass 库中的安全笔记进行备份并得到安全保护。在工作场所,您可以使用安全笔记来存储 SSH 密钥、数据库登录信息、服务器登录信息等。 现在,除使用我们为安全笔记提供的预制模板以外,您还可以添加自定义安全笔记模板——畅享无限的可能性。 如何创建新模板 添加新模板十分快捷方便。首先,打开 LastPass 库,在“安全笔记 (Secure Notes)”选项卡上单击“添加安全笔记 (Add Secure Note)”按钮以添加安全笔记。在“笔记类型 (Note Type)”下拉菜单中,滚动选择“添加自定义模板 (Add Custom Template)”选项。 例如,创建一个远程访问信息模板,供 IT 专业人士远程操作机器。我们将模板命名为“远程访问 (Remote Access)”,然后开始添加字段。 有多种不同的字段类型可供选择:文本 (Text)、带复制按钮的文本…

Read More

保护 LastPass 用户,避免密码重复使用

By | 未分类 | No Comments

你们可能已多次在新闻中看到,在最近几个星期,很多像 LinkedIn 和 MySpace 的大品牌 ,近来都遭遇了数据泄露和安全事故的问题。不幸的是,像此类的大型数据泄露,导致数百万的用户名和密码被窃取,可能被任何人滥用。而对于攻击者来说,他们利用这些凭据的最简单方法就是系统地尝试用相同的用户名和密码组合登陆到其他的网站。 由于人们重复使用密码太过频繁,攻击者能够用一种所谓的“密码重复使用攻击”很快访问到您在其他网站上的账号。新的网站本身没有安全问题,但现在它们的用户正因为他们在各种网站上都使用相同的密码而处于危险之中。我们的产品有幸成为市面上最受欢迎的密码管理器之一,但这并不意味着我们的服务就不会遭受这些攻击。再加上人们复用密码实在太过习以为常(尽管危险),我们需要尽一切努力来保护我们的用户,即便这意味着要防范用户本身。 这就是为什么我们的安全工程师团队在其他网站被入侵的时候一直在监控网络上用户名和密码泄露的情况。每当我们发觉有新的泄露的时候,我们会立即获取泄露的用户名和密码名单,并在我们自己的用户数据库中扫描这些信息,确认泄露中的帐号是否有 LastPass 的帐号。如果发现有此类帐号,我们会立即禁用此帐号以保护用户的保险库。这正是 LastPass 团队为积极保护我们的用户行动而在这些年一直做的事情。 我们采取了哪些步骤? 以最近发生的 LinkedIn 事故为例,数据外泄发生在几年前,而用户名和密码名单直到现在才泄露到网上。作为回应,我们禁用了所有发现与已泄露凭据匹配的 LastPass 用户帐号。我们要澄清的是,LastPass 方面没有违约或安全问题,这只是我方为保护在其他被攻破的网站上重复使用密码的用户而采取的主动措施。 LastPass 知道我的主密码吗? 不,LastPass 从来不知道您的主密码。当密码从其他网站上泄露后,LastPass 会通过模拟登录尝试的脚本来运行那部分数据。脚本会进行标准的 PBKDF2 哈希运算,这是 LastPass 在您每次登录的时候使用的工具,可以让我们知道您输入的密码是否正确。然后我们会把脚本的结果与存储在我们数据库中的密码哈希值进行比较。如果密码哈希值匹配,我们就知道这个密码被复用到了 LastPass 帐号中,然后此账号就会被禁用。…

Read More

密码智能技术:如何加强您的第一道防线

By | 未分类 | No Comments

密码经常会无端受到批评,不过这是有原因的。从我们自身来说,我们大部分人都会设置容易使用、记住的密码。但是,我们不大擅长创建良好的密码,所以我们免不了会暴露在各种安全问题当中。此外,密码与用来保护密码安全的加密技术,以及在线服务用来保护密码的措施息息相关。且不说密码有多难记,更麻烦的是,在忘记密码时还需要重新设置。 虽然我们被密码束手束脚,但密码也确实发挥着重要的作用。在网络中,密码通常是我们个人信息的唯一守卫者。这意味着,只要我们需要用到密码,为了我们自己的利益,我们必须谨慎对待密码,确保它们能够有效地为我们提供保护。 无论您是密码安全方面的新手,还是经验丰富的职业熟手,只要按照以下基本技巧来创建密码,加强您的第一道防线,您一定会受益匪浅。 以“独特的”方式进行思考 所有人都知道,在设置密码时应该设置较长的密码,并且最好在密码中混合使用数字、符号以及小写和大写字母等字符。但是实际上,使用独一无二的密码更为重要。 每一个在线帐户都应该有一个单独的密码。很多人都认为,一个好的密码可以到处使用。毕竟,记住一个密码要容易得多。 但是,这种方法的问题在于,只要一个网站出现了安全问题——坦白地说,其他网站随后也会出现问题,只是时间早晚而已——黑客就能够十分轻易地在其他网站上试用相同的用户名和密码组合。在过去的几个月内,由于其他入侵造成密码泄露,导致后来出现了大量使用泄露密码的联合攻击,无数网站不得不让用户重新设置密码。 因此,仅创建安全性强的密码还不够。在不同地方使用不同的密码是降低风险的唯一方法。 使用密码短语,而非单纯的密码 当您确实需要创建密码时,使用“密码短语”是一种安全性更强的简单方法。密码短语的关键是将词或短语连在一起,形成一个长的短语,最好选择一个自己容易记住但他人很难猜到或破解的短语。之后,您可以加入一些随机的符号和字符,进一步加强安全性。 例如:mydogfido’sbirthdayisnovember19(意思是:我的狗狗斐都的生日是11月19日) 使用密码短语可谓两全其美:首先,密码短语是可以重复记忆的短语,因而很容易就能记住;其次,密码短语很长,是由很多字符组成的,所以密码短语具有十分高的安全性。使用密码短语能更轻松地创建超级安全的强密码。 使用双因素验证加强密码安全 双因素验证肯定比单因素验证更安全,这是毋庸置疑的。在可能的情况下,尽量对您的帐户使用双因素验证;出于加强安全性的考量,目前许多网站都已开始提供双因素验证选项。 双因素验证指的是,在登录帐户的步骤中另外增加一个登录步骤。双因素验证可以把您知道的一些信息(您的密码)与您拥有的东西(您的电话)或您具有的特征(您的指纹),或甚至是您所在的地方(您的位置)结合起来。它可以是通过短信向您的手机发送一次性代码,也可以是使用 LastPass Authenticator 等应用程序来批准新的登录。 双因素验证的优势在于,如果您的密码不知何故泄露了出去——可能是因钓鱼攻击而泄露,那么在不知道双因素验证信息的情况下,攻击者还是无法登录您的帐户。 在工具箱中加入密码管理器 实际上,如果没有什么东西来帮助记忆、整理和创建密码,很难养成良好的密码习惯。这就是密码管理器的价值所在。LastPass 这一类的密码管理器能够帮助您在一个安全的地方集中管理您的密码,并且能够在您需要时对密码进行同步。 但是,要充分利用密码管理器,您需要使用密码管理器为每一个在线帐户创建独一无二的密码。在您需要密码时,您可以借助密码生成器轻松创建一个新的密码,除此之外,您还可以使用 LastPass 安全挑战找出仍需要修改的旧密码、安全性低的密码或被重复使用的密码。使用密码管理器设置密码后,您还必须执行下一个步骤,对所有密码进行更新,使用安全性更高的密码。   只要我们还在使用密码,密码就是保护网络安全的重要部分。本文介绍的这些技巧可以让您的密码发挥应有的作用,尽职尽责地保护您的个人信息。

Read More

5在线自我保护内部提示

By | 未分类 | No Comments

在新闻中经常会看到大量数据被泄漏的事件,因此我们都希望采取更多相应措施来在线保护自己。尽管可能觉得帮不上忙,但还是可以采取几个简单的策略以减少受到攻击的可能性。即尽量少地暴露个人信息,并使用任何可用的标准安全功能。下面介绍如何使用 LastPass 帮助您减少受到在线攻击的可能性。 1.一个帐户一个密码。 尽管复杂的长密码很重要,但同样重要的是您使用的每个密码必须是唯一的。请不要对两个帐户使用相同的密码。 密码生成器可以帮助您做到这一点。与许多密码管理器一样,LastPass 具有内置功能。当您注册新网站时,密码生成器可以即时创建一个新密码。它还可以帮助您使用更好的密码替换旧密码。最重要的是,LastPass 可以为您记住生成的所有密码。 使用唯一的密码可以确保一旦一个网站出现漏洞不会导致另一个网站上的帐户被盗取。类似 Gmail、PayPal 和 Dropbox 的服务已报告,黑客使用其他漏洞中泄漏的用户名和密码入侵用户帐户的情况。使用唯一的密码,您将可以成功阻止这些尝试。 2.管理一次性电子邮件。 许多网站需要输入有效的电子邮件地址。但是,您的电子邮件地址与您的在线生活的其余部分密切相关。对于大多数人来说,我们的电子邮件地址是我们用来连接银行、社交网络以及其他无数服务的通道。因此,我们的电子邮件帐户成为了我们在线生活的中心,而且往往也是黑客攻击的主要目标。不妨这样想:如果您能够访问某个电子邮件帐户,则可以在大多数网站上使用密码重置访问其他帐户。这就是为什么您应该保护您的在线生活所依赖的电子邮件帐户的原因。 您可能要考虑使用多个 Gmail 或 Yahoo 帐户(仅用于促销注册),或者甚至考虑使用“一次性”电子邮件帐户。类似 Mailinator 等的服务能让您生成电子邮件地址,这样您便不必使用您的主电子邮件地址。如果您的其中一个“一次性”电子邮件地址开始收到太多垃圾邮件,您只需将其取消并创建一个新的电子邮件地址,而不会中断其他帐户。同样,LastPass 可以跟踪您在相应位置使用的电子邮件地址,因此您可获得所有安全优势,并且免去了很多麻烦。 3.提供安全问题的虚假答案。 如您所知,有些公司要求您回答一些愚蠢的安全问题,以“证明”您是谁?请不要提供真正的答案。请使用密码生成器创建随机答案,然后将其存储在 LastPass 中。对于 LastPass 中存储的任何网站登录信息,只需将答案添加到“注释”部分。可以通过 Internet…

Read More