在LastPass遭受黑客攻击之后，你还能相信密码管理器吗？- 华尔街日报

Nicole Nguyen

2023-03-12

一名黑客成功攻击了领先的密码管理器LastPass。自从这次黑客被公开后，我收到了很多读者的询问：如果密码管理器可以被黑客攻击，我们还能信任它们吗？

你之前听过我提到过这些服务的价值，这些服务可以为您的各种账户生成和存储强大、独特的密码。网络攻击正在增加，安全专家表示使用密码管理器是保护您的数字生活的最佳方式之一，还可以为您的账户添加双因素认证。

尽管听起来有趣，但LastPass的黑客攻击证明了这些系统确实可以保护您的登录凭据安全，前提是您的主密码不容易被猜到。这次黑客攻击也提醒我们，密码管理器并非都同样安全。在它们之间做出选择需要一些尽职调查。

首先，让我们回顾一下。LastPass最近公布了更多有关2022年8月违规事件的详细信息。第一次黑客攻击导致了第二次黑客攻击，而第二次黑客攻击非常严重。攻击者，身份仍然未知，远程访问了客户保险库的备份——加密的网站登录凭据、付款信息、安全笔记等。

所有在2022年9月16日或之前激活了LastPass账户的用户都受到了这次违规事件的影响。这意味着数百万用户和超过10万家企业受到了影响。

这是否意味着客户的主密码——即用于访问加密保险库的唯一密码——或者存储在LastPass中的密码在攻击中被访问了？我问了去年四月加入该公司的LastPass首席执行官Karim Toubba。他说没有。

“那些保险库数据是使用一种称为零知识架构的技术加密的，这种技术表现得很坚固，”他说。

去年八月，一名黑客访问了加密的LastPass客户保险库，其中存储了登录信息、付款信息和安全笔记。图片来源： LastPass翻译：您账户的主密码并未存储在LastPass服务器上，因此黑客或LastPass员工无法获取。这种“零知识”模式是所有安全密码管理器的基础，包括我在下面推荐的服务。

黑客可以尝试猜测用户的主密码。Toubba先生表示，自2018年以来，公司要求客户使用长、复杂的主密码，以确保更难被猜测或破解。

他说，拥有这种密码的用户情况良好。但在2018年之前，注册不受这些要求限制的用户可能面临风险。早期用户应加强他们的主密码。

LastPass还建议早期用户调整一个非常复杂的加密设置——相信我，我在为您省略细节——这引发了一个问题，为什么公司甚至让用户访问它。Toubba先生表示，LastPass正在重新考虑这一点。

需要知道的信息：拥有较新账户和强大主密码的LastPass客户可能仍然不会受到密码泄露的影响。令人不安的是，该公司保留了其他未加密的客户数据。

黑客复制了一个数据库，其中包括用户的账单和电子邮件地址，以及电话号码。黑客还获得了与用户登录相关的网址（又称URL），这些网址存储在LastPass中，以便自动填充凭据。这意味着黑客可以看到LastPass用户在网上拥有账户的地方（例如，他们的银行或移动服务提供商）。

攻击者可能没有特定网站或应用程序的用户名和密码，但知道网址意味着他们可以用假版本来欺骗受害者。Toubba先生表示，公司正在努力加密URL和其他客户信息。

他补充说，LastPass正在投入数百万美元加强安全性。“这不是一次性投资，”Toubba先生说。“我们有信心将问题转化为优势。”

把所有数字蛋放在一个篮子里还安全吗？

“账户安全的最佳策略是使用密码管理器，但您需要将其与其他保护措施结合使用，”专门从事高管数字安全的BlackCloak公司创始人Chris Pierson说。

他补充说，他认为LastPass用户应该转向其他提供商。

尽可能多地使用双因素认证——您需要在密码之外还需要一个时效性代码或应用程序推送警报才能获得访问权限。

皮尔逊博士说：“没有这个，强密码就毫无意义。”

密码管理器很棒。不仅可以提高安全性，还可以提高便利性。它们可以在计算机和移动设备上自动填充凭据、信用卡号码和其他数据，使登录和在线购物更加便捷。

最佳的高级选项是1Password和Dashlane。Bitwarden提供了一个功能较少的免费计划。迄今为止，没有人知道它们中的任何一个被黑客攻击过。但还有其他推荐它们的原因。

1Password的Watchtower会提醒用户数据泄露和重复使用或易受攻击的密码。图片：1Password与LastPass不同，这三个工具会对存储在保险库中的所有内容进行加密，包括与每个帐户登录相关的网址。1Password还要求您在从新设备登录时输入秘密的34位字符密钥。

我以前推荐过苹果和谷歌的免费内置密码管理器。它们确实很方便。但是我不建议将它们用于保护您最重要的密码。

正如我的同事Joanna Stern和我最近写的那样，这些密码管理器只受手机密码的保护。一个机智的手机小偷如果看到您输入密码，就可以访问您的整个数字生活。

无论您选择哪一个，记住：您的主密码是关键。让它又长又复杂，最好使用密码生成器。不要重复使用它，也不要丢失它。此外，保持所有计算机和手机软件都保持最新。LastPass被黑客攻击是因为攻击者利用了员工个人笔记本电脑上一个过时版本媒体播放器的漏洞。黑客安装了键盘记录器并记录了员工的公司凭据。

如果这次泄露证明了什么，那就是密码很麻烦。1Password、Dashlane、Bitwarden甚至LastPass都在从主密码转向生物识别或物理安全密钥。希望互联网的其他部分也能跟上。毕竟，下一次大规模黑客攻击总是在不远处。

要获取更多WSJ科技分析、评论、建议和头条新闻，请订阅我们的每周简讯。

写信给Nicole Nguyen，邮箱地址为[email protected]

2023年3月13日出版的印刷版上出现了“密码管理器保持安全，但也有局限性”。