LastPass 安全漏洞：如何保护自己

已发表: 2023-01-05

关于 LastPass 漏洞您需要了解和采取的措施

如果您是 LastPass 用户，就像我们 WordPress 社区中的许多人一样，您今天可能正在寻找替代密码管理解决方案。在 LastPass 发生大规模安全漏洞后，该公司没有及时披露——这可能会使您的数据面临风险——您应该考虑切换到 Bitwarden 或 1Password。更好的是，尽可能开始使用密钥——它们使无密码登录成为最终的安全解决方案。最后，如果您负责他人数据的安全，或者如果您担任通信角色，您可以从 LastPass 的错误中吸取教训——主要是不该做的事情。让我们来看看发生了什么、应该发生什么，以及您应该如何主动保护您的在线帐户。

挖一个更深的洞不会让你出来

毫不含糊地，LastPass 向客户保证他们的主密码、数据和个人信息是安全的。我们的重要帐户信息是完全安全的。不幸的是，这根本不是真的。

2022 年 8 月，LastPass 首席执行官卡里姆·图巴 (Karim Toubba) 发布了第一份关于严重且持续的安全漏洞的公开披露，这将成为一系列越来越严重的公开披露。最初的披露称，“未经授权的一方”通过利用“一个受损的开发者帐户”部分访问了 LastPass 工程师的开发环境。入侵者窃取了一些源代码和“专有的 LastPass 技术信息”。不过，Toubba 表示，这对 LastPass 密码管理平台本身或其客户没有影响。他毫不含糊地向 LastPass 客户保证，他们的主密码、数据和个人信息都是安全的。我们的关键帐户信息是完全安全的，没有被入侵者触及。

不幸的是，这根本不是真的。

LastPass 真正发生了什么

从 11 月下旬开始，Toubba 对 LastPass 的披露进行了更多更新，TechCrunch 的 Zack Whittaker 帮助解析了 LastPass没有解释的内容。 LastPass 最终清楚地表明，攻击者在第二次违规中窃取了一些客户数据，这是由早期违规中“获得的信息”引发的。首先，攻击者瞄准了一名 LastPass 开发人员，然后又瞄准了另一名开发人员，以更深入地侵入 LastPass 的系统，包括 LastPass 母公司 GoTo 的云存储。（GoTo 还拥有 LogMeIn 和 GoToMyPC。）

令人不安的是，GoTo 向搜索引擎隐藏了自己的披露信息。

本周，LastPass 及其母公司 GoTo 均发布了有关其近期数据泄露的博文：https://t.co/k45angqAyM

但是，如果您在 Google 中搜索 GoTo 的博客文章，您将找不到它，因为 GoTo 使用“noindex”代码向搜索引擎隐藏了其违规通知。 pic.twitter.com/d83BZuOyR5
- Zack Whittaker (@zackwhittaker) 2022 年 12 月 2 日

然后，就在圣诞节前夕，Toubba 再次更新了 LastPass 漏洞披露。他确认攻击者窃取了加密的 LastPass 客户密码保险库的备份快照。 Toubba 还承认，任何拥有快照的人都可以使用暴力破解加密的客户密码库。泄露的内容包括 LastPass 客户的姓名、他们的公司名称和电子邮件地址、他们的电话号码和 IP 地址、URL、注释、表格数据和一些账单信息。

这太糟糕了。

截图 2023-01-02-at-2.19.36-PM — 令人难以置信的是，对于 LastPass 所经历的严重安全漏洞，此“更新”并未传达出适当的紧迫感。

LastPass 不良危机沟通的影响

LastPass 没有透露被盗数据中有多少用户帐户等关键事实。因此，我们应该假设所有 25+ 百万 LastPass 用户（截至 2022 年 11 月）都因这些安全漏洞而面临风险。此外，如果被盗的备份文件包含他们的旧个人和密码保险库数据，即使是以前的客户现在也可能面临风险。

一系列相互矛盾的安全披露就像是对那些信任你和你的品牌的人的组合拳。

多年来，我一直使用 LastPass 来访问其他人出于工作目的与我共享的密码。虽然我自己没有付费使用该服务，但出于这个原因，我不得不在 LastPass 上保留一个帐户。我像其他客户一样通过电子邮件收到了 LastPass 的安全漏洞通知，我立即感到担忧。我注意到这个话题出现在 Post Status Slack 上，这是一个受 WordPress 专业人士欢迎的社区论坛。 Patchstack 的开发倡导者 Robert Rowley 在那里分享了这一消息。他指出，“没有泄露主密码或存储的密码。不需要采取任何行动。” 与数百万其他 Patchstack 用户一样，我们都相信公司告诉我们的内容，但我们错了。

后来，Patchstack 和 WordPress 社区的其他人分享了 GoTo 压制他们自己的违规披露的消息。 12 月，罗利再次发表评论，观察事情与我们都相信的最初声明相去甚远。 “没有访问客户保险库。” 将一系列自相矛盾的披露与挨打进行比较，Rowley 观察到，“这可以看作是失去信任的左右组合，每一次更新都会让事件变得更糟。”

LastPass 应该发生什么

归根结底，信任不是技术或技术概念。它是关于人际关系的。信任取决于您如何对待他人，尤其是那些信任您的人。

在开源社区中，我们非常重视透明度。特别是在安全方面，我们努力维护和保护负责任的披露文化。如果我们发现开源软件产品中的漏洞，我们会悄悄通知其所有者和维护者。我们希望他们在修补任何可利用的代码后立即提醒用户并进行全面披露。我们希望这会很快发生，作为重中之重。通过这种方式，开源社区成员试图互相帮助解决影响每个人的问题，而不是掩盖问题，而这在专有软件中经常发生。

当恶意个人窃取高价值的个人身份信息 (PII) 时，也适用类似的道德规范。虽然安全漏洞通知法在不同的州和国家/地区有所不同，但它们都需要及时向受影响的人披露。这不是简单的礼貌——这是一项法律和道德义务。

在安全领域，信任就是一切

所有安全漏洞都会损害信任。它们都是糟糕的情况，只有在延迟加深时才会变得更糟。正如我们在 LastPass 中看到的那样，披露不正确和不完整的信息对公司和品牌来说可能是灾难性的。

为什么有人要信任一家在严重辜负客户的情况下表现出如此不负责任、自私和不可避免的自我毁灭行为的公司呢？专注于减轻对客户的伤害的诚实、直接和清晰的沟通是让事情变得更好的唯一可能方法。

归根结底，信任不是技术或技术概念。它是关于人际关系的。信任取决于您如何对待他人，尤其是那些信任您的人。我们并不总是兑现承诺，失败总是有可能的。当最坏的情况发生时，唯一可能重建信任的方法是承认发生的事情并诚实地说明一切。

LastPass 用户应如何应对安全漏洞？

鉴于 LastPass 披露此漏洞的方式，LastPass 上用于保护您的密码库的额外安全措施将无济于事。是时候开始了，首先迁移到新的密码管理器，例如 1Password、Bitwarden 或 NordPass，其次也是最重要的是开始更改关键站点和应用程序的密码，这些站点和应用程序的凭据存储在 LastPass 保管库中。如果您还没有这样做，那么向这些站点添加双因素身份验证将是一个非常明智的举动。

最重要的事情是立即开始更改您存储在 LastPass 中的所有用户帐户的所有密码。

如果您的保管库没有强大的主密码保护，您的所有在线帐户最终都会受到威胁。即使你确实有一个强大的主密码，它仍然可以被暴力破解。

这不是您的数据是否会被解密的问题，而是何时解密的问题。鉴于此漏洞发生在 LastPass 披露客户保险库受到影响的五个月之前，恶意攻击者已经抢先一步。因此，开始保护您存储在 LastPass 上的任何帐户的凭据至关重要。

这就是为什么接下来要做的也是最重要的事情是开始更改您在 LastPass 中存储的所有帐户的所有密码。首先优先处理最重要的帐户——例如财务帐户、网站管理员帐户和其他可能让您损失惨重的帐户。

是时候离开 LastPass 了

最后，我们建议关闭您的 LastPass 帐户并转移到其他服务，例如 Bitwarden 或 1Password。 Bitwarden 有一个迁移工具可以导入您的 LastPass 帐户记录。 1Password 也是如此。

是时候摆脱 LastPass 了。考虑使用 Bitwarden，一种出色的开源替代方案。 Bitwarden 的源代码可在 Github 上查看，安全研究人员经常对其进行审核。付费帐户每年只需 10 美元，这使得预算有限的人可以轻松支持该项目。如果您愿意，也可以自行托管 Bitwarden 保险库。

是时候摆脱 LastPass 了。如果您有足够的资金购买 1Password，它是许多其他可用密码管理器的更强大替代品。他们的安全设置还依赖于密钥来保护保险库。 1Password 一直是许多安全专业人士的选择，它拥有出色的系统，可以为需要访问大量帐户的团队共享保管库访问权限。

另一种选择是 Bitwarden。作为一个开源工具，Bitwarden 的源代码可在 Github 上查看，安全研究人员经常对其进行审核。付费帐户每年只需 10 美元，这使得预算有限的人可以轻松支持该项目。如果您愿意，也可以自行托管 Bitwarden 保险库。

重新思考您自己的安全实践的机会

即使您不是客户，LastPass 漏洞也是一个思考您自己的安全策略的好机会。 LastPass 等密码管理器的一个主要功能是能够与其他人共享对在线帐户的访问权限。许多在线服务和工作场所需求的局限性促使我们为了方便而共享帐户访问权限。但是，共享帐户通常是一种非常糟糕的安全做法。不要让超过一个人访问 Twitter 等单用户社交媒体帐户！请改用多用户社交媒体管理器应用程序。然后，您可以允许任意数量的人发送推文，而不会冒丢失您的主帐户的风险。当这些人离开或改变角色时，管理他们的访问权限将变得更加简单。

通常，共享帐户凭据是一种非常糟糕的安全做法。

您授权访问 LastPass 等应用程序中共享密码的任何人都可以永久保留这些密码。他们可能会把它们写下来。为方便起见，他们可能会将它们保存在浏览器的密码管理器中。每个团队和组织都有人来来去去。正确的安全做法要求您立即删除未使用的帐户并更改密码。你练习这个吗？你做得如何？你有没有让它尽可能简单明了？您是否已将这一重要责任委派给特定人员？谁检查和审核您的团队访问权限？他们多久做一次？

想想你自己最坏的情况。您将如何处理有关泄露客户数据的违规行为的沟通？您如何才能回到主动预防策略，以免这种情况发生？

任何企业都不能忽视这些重要责任。您今天可以做些什么来降低明天发生灾难性破坏的风险？

胜利的密码！数字安全的未来

此事件强调了密码问题。密码管理器正试图支持更复杂的密码，双因素身份验证试图提供另一层安全性。然而，根据 Verizon 的数据安全报告，只有不到 30% 的用户真正使用 2FA。密码确实被破解了。密码是向前发展的解决方案。

密钥是一种身份验证方法，涉及使用物理设备（例如密钥卡或智能卡）来验证用户的身份。具有越来越常见的生物识别登录方法的计算机或电话也可用于在网站上验证您的身份。密钥被认为比其他身份验证方法（如密码）更安全，因为它们提供了额外的安全层。

使用密钥，您可以绕过传统的、安全性低得多的站点登录。

如果您的计算机是已知的、受信任的设备，并且带有您银行帐户的密钥（如果您使用 iThemes Security Pro，则为 WordPress 站点），您可以绕过传统站点登录。这足以让网站识别您的设备，并可能通过 Apple 设备上的 Touch ID 或 Microsoft 的 Windows Hello 要求提供指纹。

真正的内心平静是无密码的

密钥的一个优点是它们不像密码那样容易被猜到或破解。密码可能容易受到字典攻击，黑客会测试常用密码列表以尝试获取对帐户的访问权限。另一方面，密钥通常是唯一的，不能轻易复制，这使得它们更难被破解。

此外，密钥可以与其他身份验证方法结合使用，例如设备密码或生物识别身份验证，以提供更高级别的安全性。这被称为多因素身份验证，它可以大大增加黑客访问帐户的难度。

万能钥匙可能很快就会让像 LastPass 这样的密码管理器变得不再必要。这将使网络更安全，因为像 LastPass 这样的大型平台安全漏洞可能会成为过去。如果您运行 WordPress 或 WooCommerce 网站，您可以使用 iThemes Pro 的密钥功能为您自己和您的用户提供无密码登录的高度安全性和无与伦比的便利性。

2023 年密码管理器的状态

现场互动在线培训课程
2023 年 1 月 10 日下午 1:00（中部）

在本次网络研讨会中，我们将讨论最近的 LastPass 漏洞以及在保护我们的数字生活（包括我们的 WordPress 网站）时我们可以从中学到什么，我们还将评估密码、密码管理器、双因素身份验证和以便我们可以安全地进入 2023 年。

我们还将讨论使用密钥将密码放在我们身后的解决方案，以及技术巨头和 iThemes Security 对 WebAuthn 的实施状态。

免费注册！

丹·克劳斯

Dan Knauss 是 StellarWP 的技术内容通才。自 1990 年代后期以来，他一直是一名作家、教师和自由职业者，从事开源工作，自 2004 年以来一直从事 WordPress。