今天,我收到了我司的一封官方email,告诉我们每个员工LastPass出事了,要我们每个员工最好行动起来。
LastPass是我们公司御用的密码管理软件。简单来说,现在要登录的账号太多了,每个账号都有不同的密码。密码管理软件就是让用户把所有的这些密码都输入进去给密码管理软件管理,然后自己再用唯一的master password解密就行了。
市场上做这个类型的密码管理软件的公司很多,LastPass是这方面的巨头,其安全性和方便性获得了包括以我司在内这种对security非常讲究的公司的认可。
所以,一般大家都认为,密码管理公司自己的安全水平应该非常高。但是这次,让大家都失望了。
根据我检索网上相关的信息发现,LastPass的这次黑客攻击,让用户的基本信息,比如说名字,邮箱,电话号码, ip地址,常访问网站等等都被窃取。不仅仅如此,存有用户所有的账号和密码的password vault也被窃取了。
虽然说我们都知道,现代的加密算法决定了,这个password vault如果暴力破解的话,难度很大,前提是用户对这个password vault用了很强的密码加密。
如果用户本身用了123456这种密码来让LastPass保存自己其他密码的话,那这个事情就麻烦大了。
因此,我司还是第一时间建议所有用LastPass保存了密码的账号,赶紧第一时间更新密码吧。不然的话,有可能用户就被暴力破解,然后账号受到攻击了。
当然,更重要的是,用户已知的信息,类似名字邮箱等等,也可以被黑客用来钓鱼,所以大家还是当心一点被钓鱼了。
根据Techcrunch的报道,LastPass丢的是用户数据的一个备份。但是更具体的细节就没有披露了。想来也是,如果把黑客是怎么窃取秘密的细节披露出来的话,那岂不是大家都可以去它家玩了。
还好,虽然我司天天推荐我用LastPass,我这个人比较怕事,一直都没有舍得把自己各个账号密码交给LastPass这样一个公司,所以我一直都是硬输入密码,而不是用LastPass。这次LastPass用户数据被窃取的事情,和我是没什么关系了。
但是我觉得我们公司应该很多人都受到影响了。毕竟现在每个网站的密码要求又高,大家要登录的网站又多,想要记住那么多东西还是很困难的。
可是single point failure的事情,好像是计算机分布式系统里面的第一课,一个系统有了single point failure,就不稳定了,LastPass是不是很像是我们人类这个系统里面的一个single point failure。
安全这个事情吧,可大可小。简单的办法还是要用多重认证,比如说除了密码以外还要手机验证码,这样的话,肯定安全多了。说真的,美帝这边的老百姓被荼毒的不厉害,国内的老百姓安全素质高多了,银行也是,各种盾的。
最后,我想对LastPass本身来说,这个被窃密的事件,估计会对它的生意和合作伙伴都产生一些长远的和短期的影响吧,肯定不是什么好事情。