著名密碼管理軟件 LastPass 今年第二次報告被駭客入侵,繼 8 月因為該公司一名開發人員帳戶被駭,導致源程式碼和技術文件外洩後,12 月初又爆出該公司儲存在雲端的客戶資料被盜取,上星期更證實連用戶的雲端密碼庫都被拷貝下來。保安專家認為 LastPass 在多方面誤導用戶。對密碼安全有疑慮的用戶應該更改所有密碼,並轉用其他密碼管理軟件。
事件源於今年 8 月,由於一位 LastPass 開發人員的帳戶被駭,讓未經授權人士獲得了 LastPass 開發環境的存取權,LastPass 當時稱不法分子只取得源先式碼和專有技術文件,但同時表示系統在設計和管控上防止不法分子取得用戶資料和加密了的密碼庫。
不幸地到今年 12 月 1 日,LastPass 公布他們再受到駭客攻擊,不法分子就是利用 8 月時取得的金鑰,偷取了大量用戶資料,包括姓名、電郵地址、電話號碼和一些帳單資料。而到 12 月 22 日,LastPass 更更新公告,證實不法分子已竊取了 LastPass 存放在第三方雲端平台和母公司 GoTo 雲端空間的用戶密碼庫。
密碼庫其實沒有完全加密
據知,LastPass 的用戶密碼庫的緩存是以專利二進碼格式來儲存,同時包含經加密和未加密的密碼庫資料,當中用戶密碼庫的 URL 就只用了 16 進制編碼,並沒有受到加密保護。
其中一位保安專家 Wladimir Palant 指出 LastPass 其實一直有儲存用戶存取他們服務的 IP 地址,不法分子盜取了這資料就可以重製用戶的完整行蹤。
另一位保安專家 Jeremi Gosney 更指出,一般人認為密碼庫應該是個被加密的數據庫,不過 LastPass 的密碼庫只是一個純文字檔,當中只有幾個特定欄位被加密。他更認為 LastPass 在加密方法和處理資料被上載到記憶體後的管理問題多多。
主密碼強度決定密碼庫能否被破
雖然 LastPass 聲稱用戶密碼庫只可以透過用戶自己設定的主密碼來開啟,而主密碼是 LastPass 都不知道的。不過保安專家認為密碼庫被抄走後,不法分子就有可能會利用暴力破解的方式,把主密碼撞出來。
當然,如果用戶使用足夠強度的主密碼的話,以現在的技術不法分子可能需要花很多年才能破解一個密碼,但條件是用戶的主密碼真的夠強。而保安專家就指據統計,人類設定的密碼普遍都沒那麼強。
另外,Palant 指出除非用戶有跟從 LastPass 要求的長度和強度來設定主密碼,而且那個主密碼從未用在其他網站上,密碼庫才會難以破解。但 2018 年前,用戶其實是可以自行設定低強度的主密碼。而即使到現在,LastPass 也不會對舊有使用低強度主密碼的用戶發出警告。他認為 LastPass 是為了把責任推回用戶做好準備。
更改密碼.轉用其他密碼保護軟件
如果大家是 LastPass 的用戶,建議應該立即更改所有存放於 LastPass 的密碼,同時應該考慮轉用其他密碼管理軟件。另外,如果使用者有將多因素認證存放在 LastPass 的話,應該重新設定多因素認證,因為舊認證已不可靠。而未開啟多因素認證的服務,就應該開啟該功能以加強保護。