著名密碼管理軟體 LastPass 在最近遭到用戶質疑安全性的問題,一名網友在 Hacker News論壇分享了他的主密碼被陌生人嘗試破解,而破解者的 IP 似乎來自巴西,而非用戶自己所在的國家。他表示自己的 LastPass 帳號有經過 2FA 認證,發生這個狀況後,他試著分享自己的狀況並尋求類似用戶的遭遇。結果意外發現也有別的人回報了類似情形,雖然案例不多,但發現主密碼被陌生人嘗試破解登入的人,都表達了對這套軟體服務在安全性方面的擔憂。而 LastPass 堅稱從未發現任何入侵的痕跡,確信用戶的密碼均被該公司嚴密保護著:
▲LastPass 是著名的密碼管理服務供應商之一(圖片來源)
隨著網路服務越來越多,許多人苦於管理各種不同的密碼,而想出各種奇招,這些招式中,相信有不少人都會同意,把所有網路服務的密碼通通設成同樣一組或兩組交替,會是最好記住的方式。但這樣的舉動以資安角度來說非常危險。市面上就有許多密碼管理軟體希望能用保險庫的概念讓大家將密碼集中保管,這樣就算記不住大量密碼,也能夠管理多個不同服務下的帳戶。不過,既然有保險櫃的概念,自然也會有試圖破解保險櫃的人。而最近發現狀況的,是著名的 LastPass。
官方表示沒有被駭,可能是駭客工具試錯或是內部錯誤
LogMeIn 全球公關高階總監尼科萊特(Nikolett Bacso-Albaum)表示,用戶收到的警報似乎可能是所謂的機器人活動所致,機器人或許是駭客或某些組織放出來,刻意破解一些網站的登入帳號。這種手段雖然有些老舊,但對於一些密碼設置不嚴謹的帳號來說相當致命。該公司認為,這種機器人手段沒有可能破解成功,甚至調查了公司內部的登入資料顯示,並未有不明來源的使用者成功破解帳號或利用系統漏洞入侵:
▲LastPass 這類密碼管理服務,通常都以一道主鑰及個人帳戶作為整個密碼庫的保護措施,帳戶可以用 2FA 驗證加強安全性,主鑰則需要常更換避免輕易被破解(圖片來源)
尼科萊特的說法顯然有一定的說服力,但事情是否真的那麼單純,顯然還有待商榷。然而就在昨天,LastPass 產品管理副總裁 丹.德米歇爾(Dan DeMichele)表示,有一部分的警報或許是因為內部錯誤導致。這個問題被 LastPass 發現,並立刻著手解決,目前狀況已經解除。但是否還有其他原因導致用戶收到類似的警告,丹.德米歇爾並未進一步說明。或許 LastPass 還在持續調查可能的原因,甚至若真有外部入侵未遂的跡象,起碼也得找到源頭。
密碼管理軟體雖然方便,能讓人能夠放心的把自己的密碼交託給軟體保護,但用戶自己的主密碼仍然是個重要的資安弱點。為了保護主密碼,或許充分利用二階段驗證之類的保護措施,至少還能有多一點的保障。