《华尔街日报》：LastPass遭黑客入侵后，你还能信任密码管理器吗？

Nicole Nguyen

2023-03-12

一名黑客成功攻击了领先的密码管理器LastPass。自该黑客事件公开以来，我收到许多读者询问：如果密码管理器都能被黑，我们还能信任它们吗？

我之前曾向您介绍过这些服务的价值，它们能为您的各种账户生成并存储高强度且唯一的密码。随着网络攻击日益猖獗，安全专家表示，使用密码管理器是为数字生活提供保护的最佳方式之一，同时还需为账户启用双重认证。

尽管听起来有些讽刺，但LastPass被黑事件恰恰证明：只要您的主密码不易被猜中，这些系统确实能保障登录凭证安全。该事件也提醒我们，并非所有密码管理器都具备同等级别的安全性，选择时需进行充分调查。

首先回顾事件。LastPass近期公布了关于2022年8月数据泄露的更多细节。首次入侵引发了二次攻击，而第二次攻击后果严重。身份不明的攻击者远程访问了客户保险库的备份数据——这些加密数据包包含网站登录凭证、支付信息、安全笔记等内容。

所有在9月16日或当天仍活跃的LastPass账户均受此次事件影响，涉及数百万用户和超10万家企业。

这是否意味着客户的主密码（用于访问加密保险库的唯一密码）或存储在LastPass中的密码在此次攻击中被获取？我询问了去年四月加入公司的LastPass首席执行官卡里姆·图巴，他给出了否定回答。

“这些保险库数据采用零知识架构技术加密，该技术依然安全可靠，“他表示。

去年八月，黑客入侵了存储登录信息、支付数据和安全笔记的LastPass客户加密保险库。图片来源：LastPass翻译说明：您账户的主密码并未存储在LastPass服务器上，因此黑客或LastPass员工均无法获取。这种"零知识"模式是所有安全密码管理器（包括我下文推荐的服务）的运作基础。

黑客可能尝试猜测用户的主密码。图巴先生表示，自2018年起公司已强制要求客户使用长而复杂的主密码，以增强其抗猜测和破解能力。

他表示采用此类密码的用户安全性较高。但2018年前注册的账户不受此要求约束，可能存在风险。早期用户应加强其主密码强度。

LastPass还建议早期用户调整一项高度复杂的加密设置——请相信我，此处省略技术细节——这引发质疑：为何公司会向用户开放此权限？图巴先生称LastPass正在重新评估该设置。

你需要了解的是：拥有新账户和强主密码的LastPass客户可能仍能免受密码泄露的影响。但令人不安的是，该公司保留了未加密的其他客户数据。

黑客复制了一个包含用户账单地址、电子邮件地址以及电话号码的数据库。黑客还获取了与用户登录信息相关的网址（即URL），这些网址被存储以便LastPass知道自动填充凭证的网站或应用程序。这意味着黑客可以看到LastPass用户在线上的账户（例如他们的银行或手机服务提供商）。

攻击者可能没有特定网站或应用程序的用户名和密码，但知道网址意味着他们可以通过伪造的版本欺骗受害者。Toubba先生表示，公司正在努力加密URL和其他客户信息。

他补充说，LastPass正在投入数百万美元加强其安全性。“这不是一次性的投资，”Toubba先生说。“我们有信心将问题转化为优势。”

将所有数字鸡蛋放在一个篮子里还安全吗？

“账户安全的最佳策略是使用密码管理器，但你需要结合其他保护措施，”BlackCloak创始人Chris Pierson说，该公司专注于高管的数字安全。

他补充说，他认为LastPass用户应该转向其他提供商。

对于尽可能多的网页和应用账户，你还应该使用双重认证——即除了密码外，还需要一个有时效性的验证码或应用推送提醒才能获得访问权限。

“如果没有这个措施，再强的密码也毫无意义，”皮尔逊博士说。

密码管理器确实很棒。不仅为了安全，还为了方便。它们能在电脑和移动设备上自动填充凭证、信用卡号和其他数据，使登录和在线购物更加便捷。

最优质的付费选择是1Password和Dashlane。Bitwarden提供功能较少的可靠免费方案。迄今为止，这些服务均未传出被黑客入侵的消息。但推荐它们的理由还不止于此。

1Password的Watchtower功能会向用户发出数据泄露及密码重复使用或脆弱的警报。图片来源：1Password与LastPass不同，这三家服务对保险库中存储的所有内容进行加密，包括与每个账户登录关联的网址。1Password还要求用户从新设备登录时输入34位字符的密钥。

我之前推荐过苹果和谷歌的免费内置密码管理器。它们确实很方便。但我不建议用它们来保护你最关键的密码。

正如我的同事乔安娜·斯特恩和我最近撰文所述，这些密码管理器仅受手机密码保护。一个有心的小偷如果看到你输入密码，就能访问你的整个数字生活。

无论你选择哪种方式，请记住：主密码是关键。要设置得长且复杂，最好使用密码生成器。不要重复使用它，也不要丢失它。另外，保持所有电脑和手机软件更新。LastPass被黑是因为攻击者利用了一个漏洞，该漏洞存在于员工个人笔记本电脑上过时版本的媒体播放器中。黑客安装了键盘记录器，记录了员工的公司凭证。

如果这次入侵证明了什么，那就是密码是个麻烦。1Password、Dashlane、Bitwarden甚至LastPass正在从主密码转向生物识别或物理安全密钥。希望互联网的其他部分也能跟进。毕竟，下一次大规模黑客攻击随时可能发生。

更多《华尔街日报》科技分析、评论、建议和头条新闻，请订阅我们的每周通讯。

写信给Nicole Nguyen，邮箱：[email protected]

刊登于2023年3月13日的印刷版，标题为《密码管理器基本安全，但仍有风险》。