在线密码管理器LastPass被黑

在线密码管理器LastPass公司在上周五公布了其网络被黑事件，LastPass用户将会看到建议修改主密码的弹出框。

经过深入调查公司安全团队检测到的“可疑活动”，LastPass公司在周一发布的一篇博客帖子中透露了此次遭受攻击事件。调查并未发现有任何迹象显示攻击者盗取了用户密码库中的加密数据，LastPass用户账户也并未被侵入者染指。即便如此，攻击者依然偷取了账户电子邮件地址、密码提示信息、用户服务器salt值和身份认真散列值。

后两种信息使得攻击者有可能破解出任何弱口令的主密码，尽管LastPass公司首席执行官乔·西格里斯特说LastPass的保护措施（包括在服务器端实施了10万次PBKDF2-SHA256循环）足以“挫败任何高性能计算机对被盗散列值的破解。”

西格里斯特在对本次入侵事件的解释中说道：“我们相信我们的加密方法足以保护绝大多数用户。”

由于被黑事件，使用LastPass的用户有必要为他们的密码库更换一个新的主密码，而任何从新设备或新IP地址登录账户的用户，如果没有开启双因子身份验证的话就需要进行电子邮件身份验证。

“如果你的主密码是弱口令，或者如果你的密码在其他网站上重复使用，那请立即更新它，并更换掉其他网站上的密码。”西格里斯特说。