目录:
我们非常喜欢LastPass,以至于我们实际上称它为最佳密码管理器。 因此,当黑客的故事爆发时,我们都处于震惊状态。 但是,这是否意味着每个人都应该抛弃LastPass并使用别的东西? 您的密码在云中是否安全? 我们能再次相信公司吗? 这就是我们想要找到的东西。
不要惊慌
不用说,这是第一件需要做的事情。 恐慌,或者更糟糕的是,通过任何媒介传播虚假信息,这不是应对任何危机的正确方法。 当你阅读这样的新闻时感到害怕是很自然的,你必须意识到不必要的恐慌只是没有任何意义。 在他们的博客文章中,LastPass明确表示,我引用,
在我们的调查中,我们没有发现加密的用户保险库数据,也没有访问LastPass用户帐户的证据。
是的,它确实继续说
但调查显示,LastPass帐户的电子邮件地址,密码提醒,每用户盐的服务器和身份验证哈希都受到了损害。
但是,这是什么意思,你问? 简单地说,这意味着虽然您的所有密码都是安全的,但其他信息可能不是。 对此,博客文章已经提出了一些有用的提示。
是的,来自密码管理器的数据存储在云端,但信息在您的计算机上加密。 即使云计算架构确实存在轻微的风险,您仍然可以轻松地知道所有加密数据永远不会存储在那里。 其中包括您的所有密码。
有用的提示:查看我们的密码终极指南,了解有关在互联网上创建和管理密码的所有信息。
预防总比治疗好
这段古老的格言永远不会比互联网窥探和失去隐私的时代更具相关性。 以下是您在LastPass帐户中应遵循的一些步骤,以确保您不会因此类事件而失眠。
更改主密码
要更改LastPass的主密码,只需单击 首选项 ,您将在左侧找到帐户设置部分。 单击该按钮将为您提供 单击此处以启动帐户设置的选项 ,如下所示。
单击该按钮将打开一个新选项卡,您需要执行的操作是点击 Change Master Password(更改主密码) 按钮,然后选择更新(更强)的替代方案。
就是这样,这件事发生后你应该做的最重要的一步!
双因素身份验证和其他安全选项
我们认为尽可能使用双因素身份验证是一个好主意,尤其是在存储敏感数据的地方。 LastPass在建议使用此服务时绝对正确,我们认为您应该在更改主密码后立即执行此操作。 事实上,在您使用它时,请考虑将2步认证因素添加到您使用的包含敏感数据的所有服务中。
在LastPass中,您将在帐户设置中找到 多因素选项 (见上文)。 您可以在此处找到进一步保护LastPass帐户的选项。 您还将看到我们之前编写的网格验证选项。
基于国家的限制
LastPass需要用户探索的另一层安全性是基于国家/地区的限制政策。 启用后,这将只允许来自您所在国家/地区的设备访问您的LastPass数据。 如果来自任何其他国家/地区的设备尝试访问它,则会显示错误消息。 我们已经详细介绍了这一点,如果你还没有,你一定要阅读它。
还担心吗?
不要。 这里没有什么可做的了。 LastPass已经更新了他们的安全性,并且已经提示用户通过电子邮件进行验证,如果他们使用新设备或新IP。 为了验证这一点,我们尝试了这一点,并很高兴地报告此步骤的工作方式与广告一样。
现在的用户也被提示更改他们的主密码,但即使您没有得到该提示,我们仍然敦促您这样做。 最后,我们想引用Jeremi Gosney(Stricture集团的密码安全专家)与Ars Technica谈论黑客行为 -
在目前用于密码破解的最快GPU的NVIDIA GTX Titan X上,攻击者每秒只能进行少于10, 000次的密码哈希猜测。 这是适当的慢! 即使是弱密码在这种保护级别下也是相当安全的(除非你使用的是一个荒谬的弱密码。)这甚至不能解释客户端迭代的数量,这是用户可配置的。 默认值为5, 000次迭代,因此我们至少要查看105, 000次迭代。 实际上我的设置为65, 000次迭代,因此共有165, 000次迭代保护我的Diceware密码。 所以不,我绝对不会出汗这个漏洞。 我甚至不觉得有必要更改我的主密码。
事实上,我们自己团队中的不少成员使用该工具,我们完成了与上述相同的事情。 现在我们希望将知识传播给尽可能多的人。
想尝试其他选择吗?
好吧,如果你觉得你因为这一切而对LastPass失去了信心,那么当然,总有其他选择。 如果你愿意投入一点钱(以及一些失去的信仰),那么总会有1Password。 这是相同的架构和安全措施,但1Password背后的公司Agilebits确实比LastPass有更好的跟踪记录。 通过这个,我们的意思是它从未被黑客入侵。 没有报道,更准确。 然而。
在iOS中传输密码:一旦您阅读了有用的文章,就可以轻松地将数据从LastPass传输到1Password for iOS。
如果你不愿意花钱,那么有一个免费的选择。 它被称为KeepPass,它也是开源的。 我们还编写了一份指南,将您的LastPass密码转移到Keepass。
即使它不如1Password那么方便,如果你愿意玩,可以添加一些插件来匹配其付费对等体的功能。 但是,确实需要一些耐心,所以要做好准备。
我们的2美分
很容易责怪一家公司,并说他们不小心你的数据。 但是,当有抢劫时,这就像指责银行一样好。 人们还没有停止把钱放在那里,你也不应该停止信任密码管理员,因为一个人被黑了。
我们甚至没有说安全在LastPass的部分是松懈的,但他们肯定需要拉扯他们的袜子。 这不是第一次在他们的系统中检测到威胁,但两次都没有任何重大的被盗/丢失。 他们迅速迅速地通知了用户并已经处理了导致此问题的安全问题。 通过自己一点预防措施,您可以确保更快乐的心态。 如果您可以花费所有时间考虑您的银行余额,我们确定您可以考虑一些保护其安全的密码吗?