LastPass 資料庫外洩是嚴重警訊,是時候放棄這個密碼管理工具
你可能聽說過,人們應該多多利用密碼管理工具,產生獨特且具有強度的密碼以使用各式各樣的網路服務,同時便於追蹤管理。如果你選擇了主流的免費工具,很有可能就是最近爆發嚴重資料外洩事件的 LastPass,那麼你應該考慮重新設定所有密碼,並且尋求更安全的方案。
LastPass 服務全球 2,560 萬用戶,在 12 月 22 日針對 8 月爆出的安全事件再度說明,實情是一起大規模資料外洩事件,尤其未經授權的駭客入侵開發環境,從加密儲存容器備份出客戶的資料庫數據,用戶數據資料因此遭到外洩。
一週前 LastPass 提供的詳細資訊足以讓用戶擔憂,後續卻沒有再為用戶提供更多資訊和協助,例如究竟有多少密碼在這起事件遭外洩、又有多少用戶受到影響。LastPass 也沒有明確澄清事件發生的確切時間,由於駭客通常需要一段時間才能破解資料庫金鑰,如果已經用了 3、4 個月處理到手的 LastPass 數據資料,對受影響的用戶恐怕更嚴重。
這起事件中外洩的用戶數據資料,包括姓名、電子郵件地址、電話號碼以及一些帳單資訊。LastPass 長期因以混合格式儲存資料庫數據而受到批評,雖然密碼等項目會加密,但網址連結等資訊卻未加密。在這種情況下,資料庫的純文字連結可讓駭客了解資料中可能有哪些值錢的東西,幫助他們確認可先破解資料庫哪個部分。用戶現在修改 LastPass 的主要密碼也無濟於事,因為背後保管的所有服務密碼和重要資訊已被竊取。
資安專業人士紛紛呼籲大家趕緊轉換其他密碼管理工具,還要更新所有網路服務的密碼,並採取額外措施保護自己。盡可能啟用雙重驗證,即使駭客試圖登入你的帳號,沒有第二道關卡的驗證碼輸入或透過行動裝置上的生物辨識登入機制,也無法順利登入你的帳號。尤其針對電子郵件信箱、金融服務以及社交媒體的帳號,這些屬於高價值的帳號。
值得注意的是,資安業者普遍強調,雖然爆發 LastPass 這樣的資料外洩事件,但人們仍應使用密碼管理工具。一般人常用過短、易記的密碼,且在多個帳號重複使用同一組密碼,無法保障個人資訊安全,需要借助密碼管理工具以產生具有強度的密碼。如果你是 LastPass 的忠實用戶,你仍應該趕緊更改主要密碼,同時為所有網路服務開啟雙重驗證。
(首圖來源:Flickr/Automobile Italia CC BY 2.0)