方便又安全是不可能的任務?熱門 LastPass 密碼管理軟體半年內被駭兩次
使用 LastPass 密碼管理軟體的使用者要小心了,因為該工具繼今年 8 月間遭到駭客入侵之後,日前再度傳出被駭消息。儘管 LastPass 是當前全球最受歡迎的密碼管理軟體,但半年不到的時間就接連被駭兩次,說明了該工具本身確實存在安全疑慮,使用者似乎該認真考慮尋求其他更安全的替代方案。
當前網路上充斥著許多宣稱能安全地加密儲存個人帳密,又能方便地自動輸入登錄帳密與信用卡資訊的密碼管理軟體,其中較受歡迎的常見工具包括 LastPass、KeePass 及 1Password。人們在選擇這類工具的考量點多半只聚焦在「好用」上,似乎從未認真考慮過這些工具本身的安全性。而且同時儲存這麼多使用者帳密及信用卡的方便工具,難免會淪為駭客最想攻擊的目標之一。
日前 LastPass 與 GoTo 旗下雲端儲存服務遭駭
全球最受歡迎的密碼管理軟體 LastPass 週三( 11 月 30 日)在自家官網上的安全公告中坦承遭遇安全入侵事件。在這起事件中,駭客似乎存取了旗下用戶資訊中的「某些要素」。但該公司宣稱用戶密碼並未受到任何影響,因為 LastPass 採用所謂的「零知識」(Zero Knowledge)架構,所以用戶密碼依舊處於安全加密的保護狀態。
然而,該公司執行長 Karim Toubba 在安全公告中表示,他也不敢百分百確定駭客完全沒有查看或竊取用戶資訊。為求保險,該公司正努力釐清整個事件的來龍去脈與影響範圍,並確認是否有哪些具體資料真的被駭。
在這起安全事件中,LastPass 在該公司與聯盟夥伴 GoTo 所共有的第三方雲端儲存服務中偵測到異常活動。該公司隨即委託網路安全公司 Mandiant 展開調查,並通報執法機關。
今年 8 月駭客入侵 LastPass 開發環境
很糗的是,這不是 LastPass 第一次遭駭,四個月前該公司才剛經歷過一次駭客入侵事件。更糟糕的是,一家標榜安全至上的密碼管理軟體公司竟然在短短四個月之間就被駭客光顧兩次,這不但讓該公司臉上無光,更讓全世界廣大的客戶面臨安全窘境。
在 8 月的安全事件中,LastPass 官方在自家開發環境中偵測到異常活動。不過,當時該公司表示:「沒有證據顯示,這次事件有任何用戶資料或加密密碼庫外洩的情況。」然而,實際上發動這起事件的攻擊者似乎成功駭回LastPass系統,並獲取了一些用戶資料,但究竟是什麼樣的資料卻無法確定。針對這點,Toubba 表示,經過確認,未經授權的駭客利用 8 月事件中所獲的資訊,而能夠獲得該公司客戶資訊的某些要素。
事實上,這兩年來 LastPass 的網路安全問題風波不斷,從 2011 年發現的神秘安全問題到 2015 年爆發的駭客事件,再到 2016 年、2017 年及 2019 年一連串發現的安全漏洞,再再突顯出密碼管理軟體的安全問題已經到了使用者該正視的時候。除非 LastPass 能在短期內做好徹頭徹尾的改善,不然使用者還是「另選高明」,才不失為明哲保身之道。
(首圖來源:LastPass)