人們的生活與網路越來越緊密,而帳號和密碼就是個人進入網路世界的一把鑰匙。然而隨著網路資安問題快速擴張,不僅資安專家建議使用多組密碼規避風險,不同網站也針對密碼的安全性有不同的規範,讓「記憶密碼」成為一件令人頭痛的事,也因此密碼管理軟體便成了現代人不可或缺的重要管理工具。
然而,全球用戶超過 3300 萬人的知名密碼管理器 LastPass 表示,近期遭到一名駭客侵入系統,並竊取了原始碼和 LastPass 的技術資訊。
駭客入侵期間做了什麼?
根據 LastPass 內部調查可以確定,「未經授權者」侵入了公司的開發者環境,是員工用來創建和維護 LastPass 產品的一個後臺軟體。公司表示,這名駭客是透過一個受感染的開發者帳戶獲的訪問權限。
LastPass 表示,目前沒有發現駭客有任何進一步的惡意行為,執行長 Karim Toubba 也指出,沒有發現任何客戶數據或加密密碼庫被訪問的痕跡。
We recently detected unusual activity within portions of the LastPass development environment and have initiated an investigation and deployed containment measures. We have no evidence that this involved any access to customer data. More info: https://t.co/cV8atRsv6d pic.twitter.com/HtPLvK0uEC
— LastPass (@LastPass) August 25, 2022
LastPass 的密碼或密碼保險庫是否已洩露?
LastPass 發布了一篇文章表示,針對這次的駭客入侵,公司不認為有任何密碼遭到外洩,用戶不需特別採取行動來保護帳戶。
LastPass 密碼管理器並不是將用戶的密碼一一進行儲存,而是以一個主密碼,快速計算、產生出多種隨機密碼組合,並使用這些隨機產生的亂碼,來提高各個網站帳號的安全性。
不過,此次的駭客入侵事件,LastPass 的用戶肯定會擔心駭客是否掌握了自己的主密碼。對此,LastPass 明確表示,由於使用「零知識」架構,因此主密碼永遠不會被儲存。
Toubba 表示,LastPass 永遠無法知道用戶的主密碼,因此,LastPass 的用戶不需要對他們的個人密碼管理庫採取任何行動。
密碼管理器真的安全嗎?
雖然密碼管理器很方便,但是很多人還是會擔心是否會有資安上的問題。密碼管理器將所有重要資訊存在同一個地方,包括個人密碼、付款詳細資訊等。
另外,密碼管理器通常都會有許多額外的附加功能,例如,檢查密碼是否在暗網上洩露、評估密碼的安全性。但這些功能大多只有在支付年費時才可使用,如果使用免費的密碼管理器,可能無法獲得最好的保護。
密碼管理公司雖然大多會強調資安保護功能,但這不代表他們的公司不會被駭客入侵。事實上,密碼管理器過去真的有不少被駭的經歷,例如 LastPass 在 2015 年被駭客入侵、OneLogin 在 2017 年也被入侵。雖然這兩者客戶密碼都沒有外流,但這說明這些公司仍有被攻擊的可能。
》領取 TOxVO 台灣中高階主管職場秘笈《
本文開放合作夥伴轉載,參考資料:Bloomberg、Forbes、The LastPass Blog、,首圖來源:Unsplash
