三千多万用户数据泄露，这次我们的推荐翻车了

我不知道大家是否还记得这件事。

我们不久前提到过，Chromium 浏览器使用“密钥在保险箱中”的方法来“加密”您保存的密码。

这就意味着，如果你的电脑上没有安装火榕这样的常规安全软件……感染病毒后，黑客只需一秒钟就能窃取你所有的账号和密码。

当时我们给大家的一个建议就是将密码导出到第三方密码本软件，这些软件比较专业，一般都会实行严格的加密策略。

想要从他们那里获取存储的账号和密码将更加困难。

但是……我们好像被打脸得太快了？

上周，全球知名、拥有超过 3000 万用户的密码管理工具 LastPass 做了一件大事：

他们发现，大量的数据库备份，包括用户数据和存储的用户账户密码，都被盗了！

由于 Tony 几年前就使用过 LastPass，因此他去官方网站查看了一下到底是怎么回事。

这个消息一开始就很糟糕：这次泄露了大量的纯文本数据。

这是什么意思？

好消息：您的密码已加密存储，所以这应该不是问题。

坏消息是：除了密码之外，其他一切都有问题，而且很严重！

由于LastPass并没有对用户的注册邮箱和手机号、账单地址、IP地址等大量关键隐私数据进行加密。

他们甚至没有加密用户保存账户密码的 URL。

我们来举个例子，假设我们的小黑胖子是LastPass的重度用户。

黑客获得泄露数据后，首先获悉了小黑的电子邮箱地址和手机号码——但这些信息也曾在其他平台上遭到泄露。

但与以往不同的是，这次黑客还能知道小黑在哪些平台注册了账号！！！

乐观一点说防骗数据库网址，这些信息可以用来投放广告——谁在哪个网站上有账户，这就是“用户画像”数据！

从阴暗面来说，它可以帮助诈骗团伙或黑客团伙“培养”和挑选受害者。

例如。

说到这儿，有的朋友肯定会说：

“我的防骗意识足够，从来没有在黑心网站注册过账号，并不担心你说的情况。”

好吧...接下来这一点你可能坐不住了...

因为 LastPass 的加密并不像他们所说的那么牢不可破。

LastPass 要求用户设置一个主密码，每次使用保存的密码时都必须输入该密码。因此，这个密码必须很难破解才能保证安全。

但在2018年，它们被怀疑安全措施远远落后于时代，此后，LastPass改进了加密方式，将密钥迭代次数提升至10万次，并要求用户使用至少12位密码。

然而令人沮丧的是，这种升级实际上并不是自动的，LastPass 并不会强迫使用不安全密码的用户更改为新密码。

其结果是，很多老用户账户没有升级到新的加密方式，仍在使用不够安全或者已被泄露的旧密码。

Tony 的旧账户就是其中之一。这个账户创建于 2014 年或 2015 年（我记不清具体时间了），至今尚未自动升级到新的加密方式，仍在使用旧的 5000 次迭代加密。

这些不符合现代安全要求的密码很可能在几小时到几个月内就被黑客轻松批量破解，而接下来的故事……我想你应该也能猜到了。

但LastPass似乎想要淡化这个问题，直到今天才通知这些用户采取行动。。。

例如，我没有收到任何通知。

这可能会加速毫无戒心的用户的网络死亡……

并且还指出，即便采取LastPass官方推荐的安全措施，此次泄密事件依然会对一些高价值人群构成风险。

由于用户信息的泄露，黑客完全能够知道加密数据背后是哪些“有价值”的“客户”。

如果他们愿意付出几十甚至几百万美元，租用几千块显卡来破解，再加上他们对用户信息的了解（大部分人不会使用完全随机的密码，总会带有一些个人特征），确实有可能在更短的时间内试破密码。

简而言之，不要相信 LastPass 在此公告中提出的“目前不需要采取任何建议的行动”的建议。

如果您的密码存储在 LastPass 中，您应该立即更改密码。

同时Tony也对LastPass的专业性表示怀疑，为什么应该加密的用户信息却以明文形式保存？

正如广告所说，数据在发送到 LastPass 之前会被加密▼

如果黑客获取的信息不包含明文，那么根本就没办法从中找到具体的人，更不可能结合用户信息来破解密码。

后来我查看了 LastPass 过去的安全事件，发现他们的数据库似乎有点……泄漏……

唉，我不知道这次有多少用户会对密码管理器失去信任。

事实上，长期以来，世界上就没有绝对安全的墙，LastPass 的竞争对手或许比它更安全，但只要定下目标，就必然有被攻破的一天。

我猜，有些人看完这篇推送之后，可能会急着销毁密码管理器里的记录，回归传统的“脑力”记忆法。

不过在此之前，对于有能力的人来说防骗数据库网址，我们可以尝试利用开源的Bitwarden或者KeePass来搭建自己的独立密码管理器。

不知道大家对这个方案有没有兴趣，已经服用过的朋友也可以在评论区分享一下自己的使用感受给大家。