LastPass称黑客窃取了密码库 客户距离被攻破仅差一个主密码

密码管理器开发商LastPass证实，网络犯罪分子在今年早些时候的数据泄露事件中窃取了其客户的加密密码库，这些密码库存储了客户的密码和其他秘密。LastPass首席执行官卡里姆-图巴(Karim Toubba)在其披露的最新博文中说，入侵者通过使用从LastPass一名员工那里偷来的云存储密钥，拿走了一份客户密码库数据的备份。

客户密码库的缓存以一种"专有的二进制格式"存储，包含未加密和加密的密码库数据，但这种专有格式的技术和安全细节没有具体说明。未加密的数据包括金库存储的网址，但LastPass没有说更多或在什么情况下，目前还不清楚被盗的备份时间有多近。

不过，LastPass表示，客户的密码库是加密的，只能用客户的主密码解锁，而主密码只有客户自己知道。但该公司警告说，入侵事件背后的网络犯罪分子"可能试图使用蛮力来猜测你的主密码，并解密他们拿走的保险库数据副本。"

Toubba说，网络犯罪分子还拿走了大量的客户数据，包括姓名、电子邮件地址、电话号码和一些账单信息。

密码管理器生成的密码都是长的、复杂的，并且对每个网站或服务都是独一无二的。但是，像这样的安全事件提醒我们，并不是所有的密码管理器都是平等的，可以通过不同的方式被攻击或破坏。鉴于每个人的威胁模式不同，没有一个人会有与之相同的要求。

在像这样罕见的糟糕事件中，我们在解析LastPass的数据泄露通知时阐明了这一点--如果不良行为者能够进入客户的加密密码库，"他们只需要受害者的主密码"。一个暴露的或被破坏的密码库只有在加密以及密码被用来扰乱它的情况下才会显得有用。

作为LastPass的客户，你能做的最好的事情是将你目前的LastPass主密码改为一个新的和独特的密码（或口令），并写下来保存在一个安全的地方，这么做以后，意味着您当前的LastPass库是安全的。

如果您认为您的LastPass密码库可能受到影响，例如您的主密码很弱，或者您在其他地方使用了它，您现在就应该开始改变存储在LastPass密码库中的密码。从最关键的账户开始，如电子邮件账户、手机账户、银行账户和社交媒体账户。

好消息是，任何受双因素认证保护的账户都会使攻击者在没有第二个因素的情况下更难访问你的账户，例如电话弹出或短信或电子邮件发送的代码。这就是为什么首先要保护那些第二因素的账户，如你的电子邮件账户和手机计划账户。