LastPass 安全漏洞：如何保護自己

已發表: 2023-01-05

關於 LastPass 漏洞您需要了解和採取的措施

如果您是 LastPass 用戶，就像我們 WordPress 社區中的許多人一樣，您今天可能正在尋找替代密碼管理解決方案。在 LastPass 發生大規模安全漏洞後，該公司沒有及時披露——這可能會使您的數據面臨風險——您應該考慮切換到 Bitwarden 或 1Password。更好的是，盡可能開始使用密鑰——它們使無密碼登錄成為最終的安全解決方案。最後，如果您負責他人數據的安全，或者如果您擔任通信角色，您可以從 LastPass 的錯誤中吸取教訓——主要是不該做的事情。讓我們來看看發生了什麼、應該發生什麼，以及您應該如何主動保護您的在線帳戶。

挖一個更深的洞不會讓你出來

毫不含糊地，LastPass 向客戶保證他們的主密碼、數據和個人信息是安全的。我們的重要帳戶信息是完全安全的。不幸的是，這根本不是真的。

2022 年 8 月，LastPass 首席執行官卡里姆·圖巴 (Karim Toubba) 發布了第一份關於嚴重且持續的安全漏洞的公開披露，這將成為一系列越來越嚴重的公開披露。最初的披露稱，“未經授權的一方”通過利用“一個受損的開發者帳戶”部分訪問了 LastPass 工程師的開發環境。入侵者竊取了一些源代碼和“專有的 LastPass 技術信息”。不過，Toubba 表示，這對 LastPass 密碼管理平臺本身或其客戶沒有影響。他毫不含糊地向 LastPass 客戶保證，他們的主密碼、數據和個人信息都是安全的。我們的關鍵帳戶信息是完全安全的，沒有被入侵者觸及。

不幸的是，這根本不是真的。

LastPass 真正發生了什麼

從 11 月下旬開始，Toubba 對 LastPass 的披露進行了更多更新，TechCrunch 的 Zack Whittaker 幫助解析了 LastPass沒有解釋的內容。 LastPass 最終清楚地表明，攻擊者在第二次違規中竊取了一些客戶數據，這是由早期違規中“獲得的信息”引發的。首先，攻擊者瞄準了一名 LastPass 開發人員，然後又瞄準了另一名開發人員，以更深入地侵入 LastPass 的系統，包括 LastPass 母公司 GoTo 的雲存儲。（GoTo 還擁有 LogMeIn 和 GoToMyPC。）

令人不安的是，GoTo 向搜索引擎隱藏了自己的披露信息。

本週，LastPass 及其母公司 GoTo 均發布了有關其近期數據洩露的博文：https://t.co/k45angqAyM

但是，如果您在 Google 中搜索 GoTo 的博客文章，您將找不到它，因為 GoTo 使用“noindex”代碼向搜索引擎隱藏了其違規通知。 pic.twitter.com/d83BZuOyR5
- Zack Whittaker (@zackwhittaker) 2022 年 12 月 2 日

然後，就在聖誕節前夕，Toubba 再次更新了 LastPass 漏洞披露。他確認攻擊者竊取了加密的 LastPass 客戶密碼保險庫的備份快照。 Toubba 還承認，任何擁有快照的人都可以使用暴力破解加密的客戶密碼庫。洩露的內容包括 LastPass 客戶的姓名、他們的公司名稱和電子郵件地址、他們的電話號碼和 IP 地址、URL、註釋、表格數據和一些賬單信息。

這太糟糕了。

截圖 2023-01-02-at-2.19.36-PM — 令人難以置信的是，對於 LastPass 所經歷的嚴重安全漏洞，此“更新”並未傳達出適當的緊迫感。

LastPass 不良危機溝通的影響

LastPass 沒有透露被盜數據中有多少用戶帳戶等關鍵事實。因此，我們應該假設所有 25+ 百萬 LastPass 用戶（截至 2022 年 11 月）都因這些安全漏洞而面臨風險。此外，如果被盜的備份文件包含他們的舊個人和密碼保險庫數據，即使是以前的客戶現在也可能面臨風險。

一系列相互矛盾的安全披露就像是對那些信任你和你的品牌的人的組合拳。

多年來，我一直使用 LastPass 來訪問其他人出於工作目的與我共享的密碼。雖然我自己沒有付費使用該服務，但出於這個原因，我不得不在 LastPass 上保留一個帳戶。我像其他客戶一樣通過電子郵件收到了 LastPass 的安全漏洞通知，我立即感到擔憂。我注意到這個話題出現在 Post Status Slack 上，這是一個受 WordPress 專業人士歡迎的社區論壇。 Patchstack 的開發倡導者 Robert Rowley 在那里分享了這一消息。他指出，“沒有洩露主密碼或存儲的密碼。不需要採取任何行動。” 與數百萬其他 Patchstack 用戶一樣，我們都相信公司告訴我們的內容，但我們錯了。

後來，Patchstack 和 WordPress 社區的其他人分享了 GoTo 壓制他們自己的違規披露的消息。 12 月，羅利再次發表評論，觀察事情與我們都相信的最初聲明相去甚遠。 “沒有訪問客戶保險庫。” 將一系列自相矛盾的披露與挨打進行比較，Rowley 觀察到，“這可以看作是失去信任的左右組合，每一次更新都會讓事件變得更糟。”

LastPass 應該發生什麼

歸根結底，信任不是技術或技術概念。它是關於人際關係的。信任取決於您如何對待他人，尤其是那些信任您的人。

在開源社區中，我們非常重視透明度。特別是在安全方面，我們努力維護和保護負責任的披露文化。如果我們發現開源軟件產品中的漏洞，我們會悄悄通知其所有者和維護者。我們希望他們在修補任何可利用的代碼後立即提醒用戶並進行全面披露。我們希望這會很快發生，作為重中之重。通過這種方式，開源社區成員試圖互相幫助解決影響每個人的問題，而不是掩蓋問題，而這在專有軟件中經常發生。

當惡意個人竊取高價值的個人身份信息 (PII) 時，也適用類似的道德規範。雖然安全漏洞通知法在不同的州和國家/地區有所不同，但它們都需要及時向受影響的人披露。這不是簡單的禮貌——這是一項法律和道德義務。

在安全領域，信任就是一切

所有安全漏洞都會損害信任。它們都是糟糕的情況，只有在延遲加深時才會變得更糟。正如我們在 LastPass 中看到的那樣，披露不正確和不完整的信息對公司和品牌來說可能是災難性的。

為什麼有人要信任一家在嚴重辜負客戶的情況下表現出如此不負責任、自私和不可避免的自我毀滅行為的公司呢？專注於減輕對客戶的傷害的誠實、直接和清晰的溝通是讓事情變得更好的唯一可能方法。

歸根結底，信任不是技術或技術概念。它是關於人際關係的。信任取決於您如何對待他人，尤其是那些信任您的人。我們並不總是兌現承諾，失敗總是有可能的。當最壞的情況發生時，唯一可能重建信任的方法是承認發生的事情並誠實地說明一切。

LastPass 用戶應如何應對安全漏洞？

鑑於 LastPass 披露此漏洞的方式，LastPass 上用於保護您的密碼庫的額外安全措施將無濟於事。是時候開始了，首先遷移到新的密碼管理器，例如 1Password、Bitwarden 或 NordPass，其次也是最重要的是開始更改關鍵站點和應用程序的密碼，這些站點和應用程序的憑據存儲在 LastPass 保管庫中。如果您還沒有這樣做，那麼向這些站點添加雙因素身份驗證將是一個非常明智的舉動。

最重要的事情是立即開始更改您存儲在 LastPass 中的所有用戶帳戶的所有密碼。

如果您的保管庫沒有強大的主密碼保護，您的所有在線帳戶最終都會受到威脅。即使你確實有一個強大的主密碼，它仍然可以被暴力破解。

這不是您的數據是否會被解密的問題，而是何時解密的問題。鑑於此漏洞發生在 LastPass 披露客戶保險庫受到影響的五個月之前，惡意攻擊者已經搶先一步。因此，開始保護您存儲在 LastPass 上的任何帳戶的憑據至關重要。

這就是為什麼接下來要做的也是最重要的事情是開始更改您在 LastPass 中存儲的所有帳戶的所有密碼。首先優先處理最重要的帳戶——例如財務帳戶、網站管理員帳戶和其他可能讓您損失慘重的帳戶。

是時候離開 LastPass 了

最後，我們建議關閉您的 LastPass 帳戶並轉移到其他服務，例如 Bitwarden 或 1Password。 Bitwarden 有一個遷移工具可以導入您的 LastPass 帳戶記錄。 1Password 也是如此。

是時候擺脫 LastPass 了。考慮使用 Bitwarden，一種出色的開源替代方案。 Bitwarden 的源代碼可在 Github 上查看，安全研究人員經常對其進行審核。付費帳戶每年只需 10 美元，這使得預算有限的人可以輕鬆支持該項目。如果您願意，也可以自行託管 Bitwarden 保險庫。

是時候擺脫 LastPass 了。如果您有足夠的資金購買 1Password，它是許多其他可用密碼管理器的更強大替代品。他們的安全設置還依賴於密鑰來保護保險庫。 1Password 一直是許多安全專業人士的選擇，它擁有出色的系統，可以為需要訪問大量帳戶的團隊共享保管庫訪問權限。

另一種選擇是 Bitwarden。作為一個開源工具，Bitwarden 的源代碼可在 Github 上查看，安全研究人員經常對其進行審核。付費帳戶每年只需 10 美元，這使得預算有限的人可以輕鬆支持該項目。如果您願意，也可以自行託管 Bitwarden 保險庫。

重新思考您自己的安全實踐的機會

即使您不是客戶，LastPass 漏洞也是一個思考您自己的安全策略的好機會。 LastPass 等密碼管理器的一個主要功能是能夠與其他人共享對在線帳戶的訪問權限。許多在線服務和工作場所需求的局限性促使我們為了方便而共享帳戶訪問權限。但是，共享帳戶通常是一種非常糟糕的安全做法。不要讓超過一個人訪問 Twitter 等單用戶社交媒體帳戶！請改用多用戶社交媒體管理器應用程序。然後，您可以允許任意數量的人發送推文，而不會冒丟失您的主帳戶的風險。當這些人離開或改變角色時，管理他們的訪問權限將變得更加簡單。

通常，共享帳戶憑據是一種非常糟糕的安全做法。

您授權訪問 LastPass 等應用程序中共享密碼的任何人都可以永久保留這些密碼。他們可能會把它們寫下來。為方便起見，他們可能會將它們保存在瀏覽器的密碼管理器中。每個團隊和組織都有人來來去去。正確的安全做法要求您立即刪除未使用的帳戶並更改密碼。你練習這個嗎？你做得如何？你有沒有讓它盡可能簡單明了？您是否已將這一重要責任委派給特定人員？誰檢查和審核您的團隊訪問權限？他們多久做一次？

想想你自己最壞的情況。您將如何處理有關洩露客戶數據的違規行為的溝通？您如何才能回到主動預防策略，以免這種情況發生？

任何企業都不能忽視這些重要責任。您今天可以做些什麼來降低明天發生災難性破壞的風險？

勝利的密碼！數字安全的未來

此事件強調了密碼問題。密碼管理器正試圖支持更複雜的密碼，雙因素身份驗證試圖提供另一層安全性。然而，根據 Verizon 的數據安全報告，只有不到 30% 的用戶真正使用 2FA。密碼確實被破解了。密碼是向前發展的解決方案。

密鑰是一種身份驗證方法，涉及使用物理設備（例如密鑰卡或智能卡）來驗證用戶的身份。具有越來越常見的生物識別登錄方法的計算機或電話也可用於在網站上驗證您的身份。密鑰被認為比其他身份驗證方法（如密碼）更安全，因為它們提供了額外的安全層。

使用密鑰，您可以繞過傳統的、安全性低得多的站點登錄。

如果您的計算機是已知的、受信任的設備，並且帶有您銀行帳戶的密鑰（如果您使用 iThemes Security Pro，則為 WordPress 站點），您可以繞過傳統站點登錄。這足以讓網站識別您的設備，並可能通過 Apple 設備上的 Touch ID 或 Microsoft 的 Windows Hello 要求提供指紋。

真正的內心平靜是無密碼的

密鑰的一個優點是它們不像密碼那樣容易被猜到或破解。密碼可能容易受到字典攻擊，黑客會測試常用密碼列表以嘗試獲取對帳戶的訪問權限。另一方面，密鑰通常是唯一的，不能輕易複製，這使得它們更難被破壞。

此外，密鑰可以與其他身份驗證方法結合使用，例如設備密碼或生物識別身份驗證，以提供更高級別的安全性。這被稱為多因素身份驗證，它可以大大增加黑客訪問帳戶的難度。

萬能鑰匙可能很快就會讓像 LastPass 這樣的密碼管理器變得不再必要。這將使網絡更安全，因為像 LastPass 這樣的大型平台安全漏洞可能會成為過去。如果您運行 WordPress 或 WooCommerce 網站，您可以使用 iThemes Pro 的密鑰功能為您自己和您的用戶提供無密碼登錄的高度安全性和無與倫比的便利性。

2023 年密碼管理器的狀態

現場互動在線培訓課程
2023 年 1 月 10 日下午 1:00（中部）

在本次網絡研討會中，我們將討論最近的 LastPass 漏洞以及在保護我們的數字生活（包括我們的 WordPress 網站）時我們可以從中學到什麼，我們還將評估密碼、密碼管理器、雙因素身份驗證和以便我們可以安全地進入 2023 年。

我們還將討論使用密鑰將密碼放在我們身後的解決方案，以及技術巨頭和 iThemes Security 對 WebAuthn 的實施狀態。

免費註冊！

丹·克勞斯

Dan Knauss 是 StellarWP 的技術內容通才。自 1990 年代後期以來，他一直是一名作家、教師和自由職業者，從事開源工作，自 2004 年以來一直從事 WordPress。