在線密碼保管服務(wù)LastPass周一發(fā)布報(bào)告稱，該公司的網(wǎng)絡(luò)上周五被黑客攻破，用戶的郵箱地址、密碼提示、身份認(rèn)證等信息都在攻擊中被黑客盜走。LastPass提醒用戶盡快更改賬號(hào)密碼并改用其他網(wǎng)站。

上周，LastPass一發(fā)現(xiàn)該攻擊后立馬停止了其網(wǎng)絡(luò)上被黑部分的活動(dòng)，并對(duì)此展開(kāi)了調(diào)查。LastPass在報(bào)告中指出，雖然加密的用戶數(shù)據(jù)庫(kù)在攻擊中被盜走，但并沒(méi)有跡象表明用戶賬號(hào)遭到不法分子的登入。

Lastpass是一個(gè)在線密碼管理器和頁(yè)面過(guò)濾器，采用了強(qiáng)大的加密算法（使用了256位的AES密匙），可幫助用戶保存多個(gè)網(wǎng)站的密碼，隨后自動(dòng)登錄這些網(wǎng)站。不過(guò)，LastPass的自動(dòng)填寫功能，密碼能夠以明文存儲(chǔ)的方式記錄到計(jì)算機(jī)的內(nèi)存，黑客可以通過(guò)內(nèi)存轉(zhuǎn)儲(chǔ)提取密碼。

Lastpass聯(lián)合創(chuàng)始人及CEO Joe Siegrist 稱已對(duì)認(rèn)證哈希（Hash函數(shù)，一種計(jì)算機(jī)算法）加強(qiáng)了防護(hù)，采用了隨機(jī)因子并在客戶端外的PBKDF2-SHA256服務(wù)器端實(shí)施了10萬(wàn)個(gè)循環(huán)。這將大大加大快速攻擊被盜哈希的難度。

這并非Lastpass首次遭到黑客攻擊，早在2011年，Lastpass同樣遭到黑客攻擊而導(dǎo)致部分加密數(shù)據(jù)泄露。LastPass迅速鎖定了所有的帳戶防止被非法登陸，并通過(guò)電子郵件通知用戶確認(rèn)電子郵箱并更改更強(qiáng)壯的主密碼重新啟用帳戶以確保數(shù)據(jù)安全。大量更改主密碼的操作還導(dǎo)致了LastPass服務(wù)器當(dāng)機(jī)。在2013年，Lastpass曾被爆存在安全漏洞，允許攻擊者獲取存儲(chǔ)的LastPass密碼。不過(guò)此次漏洞只對(duì)使用IE瀏覽器的用戶有影響，且LastPass很快修補(bǔ)了該漏洞。

目前，尚不清楚有多少用戶在此次攻擊中受到影響。LastPass提醒用戶盡快更改賬號(hào)密碼并改用其他網(wǎng)站，此外，如果用戶使用一臺(tái)新設(shè)備或一個(gè)新IP地址登入時(shí)，最好通過(guò)郵件認(rèn)證登錄。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。