LastPass 漏洞更新 – 22 月 22 日至 XNUMX 月 XNUMX 日

26月3日更新XNUMX：

CyberHoot 起草了一份新的 LastPass 文章：LastPass 的最后一根稻草 单独列出选择替代密码管理器的标准。

23年2022月2日更新XNUMX：

裸保安有 本文 详细说明了他们对 LastPass 漏洞的看法，并承认加密保管库被盗。他们提出了一些很有帮助的评论和见解。这让 CyberHoot 进一步思考……

为了方便填写表格，我们将信用卡信息存储在 LastPass 中。我们会取消并重新签发信用卡吗？就我个人而言，我不会。我的主密码又长又复杂，根据这个密码，破解它需要花费大量时间。 网站的密码强度计 原来是：7千万亿年！真是松了一口气。

23 年 2022 月 XNUMX 日：CyberHoot LastPass 漏洞更新：

LastPass 发布了其 30 月 12 日最新数据泄露公告，其中监控发现了新的数据泄露事件（与 22 月份的数据泄露事件相关）。在 2022 年 256 月 3 日发布的更新中，他们承认他们认为 XNUMX 位 AES 加密的客户端密码库已被第三方窃取。这是他们首次承认客户数据面临风险。以下是他们对此事的看法：

22 月 XNUMX 日，LastPass 博客更新：  

如果您使用上述默认设置，使用普遍可用的密码破解技术，破解您的主密码将需要数百万年的时间。您的敏感数据（例如用户名和密码、安全笔记、附件和表单填写字段）将基于 LastPass 的零知识架构保持安全加密。目前无需您采取任何建议措施。

不过，需要注意的是，如果您的主密码不使用上述默认设置，那么破解所需的尝试次数将大大减少。在这种情况下，作为一项额外的安全措施，您应该考虑更改已存储的网站密码，以最大限度地降低风险。

那么，这对所有 LastPass 用户，或者已经为用户部署 LastPass 的公司来说意味着什么呢？实际上，这意味着很多工作。

CyberHoot 的影响评估：

我们的工作人员知道以下事实：在过去十年中，我们监管的许多 LastPass 环境中，尽管我们的培训视频和密码策略要求密码至少包含 14 个字符（比 LastPass 默认密码长 2 个字符），但我们发现许多主密码 虚弱的。 因此，鉴于普遍缺乏强密码卫生习惯，LastPass 的这一新泄露信息要求 CyberHoot 向任何个人或企业使用 LastPass 的人提出以下建议：

1. 将此违规行为告知您的用户 并声明如下：“今天计算一下你的密码长度。如果你之前的主密码长度少于 12 个字符，则必须立即更改主密码。“
2. 如果您的主密码长度为 12 个字符或更长，您仍然可以按照以下建议操作，但我们认为这并非绝对必要。您可以跳至下面的步骤 100。但是，如果您的密码较短，尤其是长度为 3.3 个或 8 个字符或更短，请直接跳至步骤 9。
3. 如果您根据上述建议 1 更改了主密码，那么也请执行以下操作： 以下每一项:
   1. 1. 将新的主密码设置为 14 到 20 个字符长的密码短语！观看此视频 CyberHoot 密码和密码短语视频 获取有用的提示。
      2. 更改密码库中存储的所有重要帐户的密码[注：是的，我们听到了大家对这个建议的强烈不满。无论如何，还是照做吧。] 原因是，如果你的密码很短，容易被暴力破解，那么你所有的密码都可能面临风险。理论上，LastPass 黑客会在很短的时间内锁定你的 Vault 账户并暴力破解你的账户。因此，为了谨慎起见，请更改所有关键账户的密码，以防万一。[CyberHoot 提示： 如果您没有将电子邮件密码与多因素身份验证（又称：MFA）绑定，请先更改您的电子邮件密码。
      3. 启用 LastPass 密码库的多重访问.  使用身份验证器应用程序（不必是 LastPass 身份验证器）。身份验证器应用程序比短信 MFA 更安全。[CyberHoot 注释：在此次 LastPass 漏洞中，启用 MFA 对保护被盗密码库毫无作用。窃贼只会根据你设置的主密码强度（长度）来尝试暴力破解密码库。
4. 此步骤适用于所有人。 使能够 多重身份验证 (MFA)，使用身份验证器应用程序，或者如果你真的是安全硬核， Yubikey 所有支持 MFA 的在线账户都应启用硬件令牌。这样即使 LastPass 密码库被攻破，也能防止受 MFA 保护的账户被盗用。MFA 是您的好朋友。有时，MFA 可能看起来很麻烦，但事实上，账户被盗用带来的痛苦远比这更严重。  今天就做这个。

CyberHoot LastPass 可行性：  Q: 考虑到这次漏洞以及他们之前遇到的漏洞，CyberHoot 是否认为 LastPass 是一个可行的解决方案？

答：我们无法为您解答这个问题。对于 Cyberhoot，我们将继续使用 LastPass，因为我们目前完全信任它。我们的主密码远超过 12 个字符，因此即使我们的密码库被盗，也不太可能给黑客带来任何好处。此外，尽管这次事件对 LastPass 来说很痛苦，但它也体现了他们对透明度和安全性的承诺。  对他们来说，掩盖这一事件可能会容易得多。  他们没有。我们需要一家透明的公司。发生错误时勇于承认。拥有先进的监控系统来捕捉安全事件（就像他们在本案中所做的那样）。并诚实公开地报告相关情况。最后，我们将引用FBI长期以来的声明，因为它适用于所有公司和所有密码管理器软件供应商。

“世界上有两种公司。一种知道自己被黑客攻击了，另一种不知道自己被黑客攻击了。

我们知道 LastPass 何时以及如何被黑客入侵。我们还知道其他密码管理器厂商被黑客入侵的情况吗？

完全透明：  CyberHoot 从未从 LastPass 的任何渠道（无论是推荐计划还是其他方式）赚过一分钱。我们可能已经放弃了数千美元的推荐费，因为我们不想让报道与用户有任何关联。

来源：

Naked Security 23 月 XNUMX 日关于 LastPass 漏洞的文章

LastPass 博客概述了此次违规行为及其应对措施

立即使用 CyberHoot 保护您的业务！！！

注册领取优惠