人們的生活與網路越來越緊密,而帳號和密碼就是個人進入網路世界的一把鑰匙。然而隨著網路資安問題快速擴張,不僅資安專家建議使用多組密碼規避風險,不同網站也針對密碼的安全性有不同的規範,讓「記憶密碼」成為一件令人頭痛的事,也因此密碼管理軟體便成了現代人不可或缺的重要管理工具。

然而,全球用戶超過 3300 萬人的知名密碼管理器 LastPass 表示,近期遭到一名駭客侵入系統,並竊取了原始碼和 LastPass 的技術資訊。

駭客入侵期間做了什麼?

根據 LastPass 內部調查可以確定,「未經授權者」侵入了公司的開發者環境,是員工用來創建和維護 LastPass 產品的一個後臺軟體。公司表示,這名駭客是透過一個受感染的開發者帳戶獲的訪問權限。

LastPass 表示,目前沒有發現駭客有任何進一步的惡意行為,執行長 Karim Toubba 也指出,沒有發現任何客戶數據或加密密碼庫被訪問的痕跡。

LastPass 的密碼或密碼保險庫是否已洩露?

LastPass 發布了一篇文章表示,針對這次的駭客入侵,公司不認為有任何密碼遭到外洩,用戶不需特別採取行動來保護帳戶。

LastPass 密碼管理器並不是將用戶的密碼一一進行儲存,而是以一個主密碼,快速計算、產生出多種隨機密碼組合,並使用這些隨機產生的亂碼,來提高各個網站帳號的安全性。

不過,此次的駭客入侵事件,LastPass 的用戶肯定會擔心駭客是否掌握了自己的主密碼。對此,LastPass 明確表示,由於使用「零知識」架構,因此主密碼永遠不會被儲存。

Toubba 表示,LastPass 永遠無法知道用戶的主密碼,因此,LastPass 的用戶不需要對他們的個人密碼管理庫採取任何行動。

密碼管理器真的安全嗎?

雖然密碼管理器很方便,但是很多人還是會擔心是否會有資安上的問題。密碼管理器將所有重要資訊存在同一個地方,包括個人密碼、付款詳細資訊等。

另外,密碼管理器通常都會有許多額外的附加功能,例如,檢查密碼是否在暗網上洩露、評估密碼的安全性。但這些功能大多只有在支付年費時才可使用,如果使用免費的密碼管理器,可能無法獲得最好的保護。

密碼管理公司雖然大多會強調資安保護功能,但這不代表他們的公司不會被駭客入侵。事實上,密碼管理器過去真的有不少被駭的經歷,例如 LastPass 在 2015 年被駭客入侵、OneLogin 在 2017 年也被入侵。雖然這兩者客戶密碼都沒有外流,但這說明這些公司仍有被攻擊的可能。

》領取 TOxVO 台灣中高階主管職場秘笈《

本文開放合作夥伴轉載,參考資料:BloombergForbesThe LastPass Blog、,首圖來源:Unsplash