LastPass 要求用戶設(shè)置一個主密碼，用戶每次想用自己存的密碼，都得把它輸一遍。因此這個密碼必須非常難破解才夠安全。

但他們曾在 2018 年被懷疑安全措施遠(yuǎn)遠(yuǎn)落后于時代，在那之后， LastPass 改進(jìn)了加密方式，密鑰迭代增加到了 10?萬次，并且要求用戶至少采用 12 位的密碼。

然而令人吐血的是，這次升級實(shí)際上并不是自動進(jìn)行的， LastPass 也沒有強(qiáng)制要求那些采用不安全密碼的用戶更換新的密碼。

結(jié)果就是很多老用戶的賬戶既沒有被升級到新的加密方法，也仍然在使用位數(shù)不夠或已經(jīng)泄露的舊密碼。

托尼的舊賬戶就是其中之一，這個 2014 或 2015 年（?記不太清?）創(chuàng)建的賬戶并沒有自動升級到新的加密方法，仍然在使用舊的 5000?次迭代加密。

這些不符合現(xiàn)代安全要求的密碼很可能會在幾小時到幾個月內(nèi)被黑客輕松批量破解，之后的故事。。。估計(jì)你們就該猜到了。

但是 LastPass 似乎是想淡化處理，直到今天都沒有通知這些用戶采取行動。。。

比如我就沒收到任何通知。

這搞不好會加速不知情用戶的賽博死亡。。。

而且同樣有人指出，即使采用了 LastPass 官方推薦的安全手段，這次泄露仍然會給一些高價值人群帶來風(fēng)險。

由于用戶信息的泄露，黑客完全能夠知道哪些加密數(shù)據(jù)背后是?“?有價值?”?的?“?客戶?”。

他們?nèi)绻敢獬鰩资习偃f美元，租上幾千塊顯卡來破解，配合上對用戶信息的了解（?大多數(shù)人不會采用完全隨機(jī)的密碼，總會有一些個人特色?），真的有可能在較短時間里試出密碼。

總而言之，不要相信 LastPass 這次公告中?“?目前不需要執(zhí)行任何建議的操作?”?的建議。

應(yīng)該立刻更改你的密碼，只要它在 LastPass 里儲存過。

同時，托尼也對 LastPass 的專業(yè)程度表示懷疑。本該加密的用戶信息，為何是明文儲存的？

按照宣傳，數(shù)據(jù)在發(fā)送給 LastPass 之前已經(jīng)加密?▼

如果黑客得到的信息里不包括明文，那就沒法從中找出某個特定的人，更別說配合用戶信息來破解密碼了。

我后來好好查了查 LastPass 歷來的安全事件，結(jié)果發(fā)現(xiàn)他們家數(shù)據(jù)庫好像有點(diǎn)兒。。。漏風(fēng)啊。。。

哎，不知道這次又會有多少用戶對密碼管理器失去信任。

其實(shí)長久以來，世界上就沒有絕對安全的一堵墻， LastPass 的友商們也許做得比它更安全，但是只要靶子立在這里，也就必然有被攻破的那一天。

估計(jì)有些小伙伴看完這條推送之后，可能就要急吼吼去銷毀密碼管理器里的記錄，然后回歸傳統(tǒng)的?“?腦力?”?記憶法了。

不過在那之前的最后，對于有能力的小伙伴，我們可以試著自己用開源的 Bitwarden 或者 KeePass，搭建一個屬于自己的獨(dú)立密碼管理器。

不知道有沒有小伙伴對這個方案感興趣的，搭過的差友也可以在評論區(qū)跟大家交流交流經(jīng)驗(yàn)。

撰文：鶴然? ?編輯：面線
圖片、資料來源：Almost Secure，What’s in a PR statement: LastPass breach explainedLastPass官網(wǎng)