安全专家指责 LastPass 公告：存在 14 点疑问，避重就轻混淆用户视听

安全专家指责 LastPass 公告：存在 14 点疑问，避重就轻混淆用户视听密码管理工具 LastPass 在圣诞节前发布公告，承认发生于今年 11 月的安全事件中黑客窃取了包括名称、URL、密码（加密）在内的用户数据。安全专家 Wladimir Palant 在他的安全博客上发帖，认为该公告存在 14 个疑点，并逐条进行了驳斥。 Palant 认为 LastPass 淡化了风险，并存在“严重疏忽”行为。这涵盖了从该公司声称的透明度到其自身的安全做法等所有内容。其中一个有争议的说法是 LastPass 告诉客户“如果你使用上面的默认设置，使用普遍可用的密码破解技术，需要数百万年才能猜出你的主密码”。而 Palant 表示对于普通用户密码来说，整个破解时间可能只需要 2 个月就可以完成，而不是“数百万年”。来源，来自：雷锋频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

在Telegram中查看

相关推荐

LastPass 安全事件持续发酵，友商 1Password 拆台：破解常规主密码只需要 100 美元

LastPass 安全事件持续发酵，友商 1Password 拆台：破解常规主密码只需要 100 美元在 LastPass 公告中表示破解用户主密码需要数百万年时间，此前安全专家质疑表示破解常规用户主密码。1Password 的首席安全架构师 Jeffrey Goldberg 在一篇博文中表示，LastPass 公告所提及的内容大幅夸大了破解难度，而如果真的想要破解常规 LastPass 客户的主密码，成本只需要 100 美元（约 698 元人民币）左右。 Goldberg 支撑这个观点的理由是大多数用户的现实生活中的主密码不是随机的，对于密码破解者来说他们也知道这一点。普通用户不会使用复杂、难以记忆的密码作为主密码。他说，大多数密码只需不到 100 亿次猜测就可以破解，而且只需大约 100 美元（约 698 元人民币）即可破解。来源，来自：雷锋频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

网络犯罪分子 “破解" 了LastPass密码管理器

网络犯罪分子 “破解" 了LastPass密码管理器，该事件是在两星期前被发现的，当时专家在密码管理器的部分开发环境中发现了可疑的活动。黑客利用其中一名开发人员的受损账户，进入了LastPass的开发环境，然后窃取了一些源代码和有关密码管理器的技术信息。该公司聘请了一家领先的网络安全和取证公司对这一事件进行调查，目前声称数据泄漏并没有泄露用户的主密码。 #ThreatIntelligence #PasswordManager #Security

密码管理工具 LastPass 再次出现数据泄露

密码管理工具 LastPass 再次出现数据泄露国外科技媒体报道，密码管理工具 LastPass 再次出现数据泄露事件。该公司首席执行官卡里姆・图巴（Karim Toubba）在今天发布的博文中表示，黑客访问了 LastPass 的第三方云存储服务器，并获得了部分客户的关键信息。图巴在博文中并未明确黑客具体窃取了哪些信息、也没有明确有多少用户受到影响。图巴在博文中表示：“由于 LastPass 的零知情（Zero Knowledge）架构，我们客户的密码仍然是安全加密的”。IT之家了解到，所谓的零知情架构就是只有用户知道主密码，加密只发生在设备层面而不是服务器端，LassPass 也不会知道。 LassPass 在今年 8 月曾发生源代码泄露事件，并承认有黑客曾进入过 LastPass 的内部系统。而本月受到的攻击应该和 8 月事件是存在关联的。图巴表示黑客 "利用 2022 年 8 月事件中获得的信息" 获得了对用户数据的访问。来源，来自：雷锋频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

加密邮箱提供商ProtonMail手撕LastPass 指责这款密码管理器不安全

加密邮箱提供商ProtonMail手撕LastPass 指责这款密码管理器不安全 Proton 表示通常他们不会强烈反对其他在线服务，虽然没有一个系统是 100% 安全的，但 LastPass 持续存在的安全问题应该为任何考虑在那里存储最敏感数据的人敲响警钟。在博客中 Proton 将 LastPass 从 2011 年开始，2011 年、2015 年、2016 年、2017 年、2019 年、2021 年、2022 年～持续到现在的安全问题都罗列了一遍。如果有兴趣查看 Proton 列出的完整安全问题可以在他们的博客查看：也确实是在宣传自己的 Proton Pass 密码管理器，不过这篇博文也确实没什么问题，毕竟 LastPass 真的太多问题了，蓝点网也强烈建议用户不要再使用这款密码管理器，哪怕不使用 Proton Pass，你也可以考虑 Bitwarden、1Password 等其他密码管理器。 ... PC版：手机版：

美国电信运营商AT&T确认遭遇数据泄露重置数百万用户密码

美国电信运营商AT&T确认遭遇数据泄露重置数百万用户密码 AT&T 正通过"电子邮件或信件"联系受影响的用户，让他们了解哪些数据被包含在内，以及公司将采取哪些应对措施。在多家媒体周一报道 AT&T 其加密密码存在漏洞之后，该公司才承认泄露的数据是真实的关于泄露的第一份报告出现在 2021 年。密码通常是四位数字 PIN 码，用于与公司支持人员通话或店内验证时的账户安全，一位安全研究人员的分析显示，密码"很容易被破译"。该常见问题称，客户可以从信用局 Equifax、Experian 和 TransUnion 免费设置欺诈警报。据 AT&T 称，该数据集"似乎是 2019 年或更早的数据，不包含个人财务信息或通话记录"。该公司表示，它正在与"外部网络安全专家合作分析情况"，到目前为止，它还没有"授权访问"其系统的"证据"。 ... PC版：手机版：

维基主机发布公告要求用户立即更改密码

维基主机发布公告要求用户立即更改密码维基主机发布公告表示，在 Lagom 主题再修复漏洞完成后，又发现了一个安全漏洞，导致黑客在未经授权的情况下访问了数据库以及文件。因此官方建议用户立即更改密码，详情请看原公告：

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人