密碼管理網站 LassPass 遭入侵,所幸用戶密碼未外洩

作者 | 發布日期 2015 年 06 月 16 日 16:56 | 分類 網路 , 資訊安全 , 雲端 follow us in feedly

密碼管理網站 LassPass 驚傳資安事件,雖然密碼沒外洩,但是部分用戶的密碼提醒、email 帳號、authentication hashes,已經被駭客取得。而 LassPass 也趕緊通知受影響用戶趕快改密碼。




LassPass 在部落格上發文指出,上週五 LassPass 發現可疑活動,已經封鎖可疑的連線了。目前 LassPass 會針對從新裝置或是新的 IP 位置連線的人,藉由 email 確認帳戶。並且提醒用戶要改密碼,並且開啟兩階段認證。

LassPass 是知名的密碼管理網站,讓使用者不用記住他所有網站的所有密碼,只要一組主控密碼,就能夠順利登入各個網站。對使用者來說不必為了能記住所有網站密碼,使用簡單但安全性低的密碼,確保安全。但 LassPass 這類服務有弱點,由於安全因性主控密碼不能跟其他密碼存一起放到雲端,使用者仍得用傳統方式記起來,等到需要登入時輸入。主控密碼仍有可能被駭客用社交手法取得,一旦外洩意味著所有密碼都曝光。

雲端雖然方便,但在這次事件卻曝露雲端服務的弱點,容易在資料傳輸的不同環節遭攔截。雲端服務經手不少寶貴資料,自然成為駭客動手的目標,像是先前 Dropbox 被駭,也是著眼寶貴的資料。LassPass 的商業模式是保護使用者密碼,提供方便登入網站的服務,會被駭客看上想辦法動手駭入也不意外。對用戶來說不要取太簡單的密碼,並且趕快啟用二階段認證,才能保謢好自己的寶貴資料。

發表迴響