狗万官网官方网址 >实事 >最后通行证:过度反应或妥协的数据库? >

最后通行证:过度反应或妥协的数据库?

2019-08-27 07:02:05 来源:工人日报

  

最后通行证:过度反应或妥协的数据库?

Computer
电脑故障导致许多新西兰人在网上购物后获得免费礼品。 照片:IBTimes

将用户密码存储在虚拟保险箱中的公司可能已将其数据库泄露 - 或者可能是很多人反应过度。

Last Pass为用户提供了一个密码,用于将所有密码存储在服务器上,称其数据库可能已被黑客入侵。 该公司报告说,其中一台非关键机器的网络流量异常只有几分钟。 经过进一步的研究,Last Pass在其他一个数据库中发现了相反的方向相似的异常现象。

虽然通常这种异常是员工或自动脚本,但根本原因可能是更为狡猾的事情,Last Pass说。 我们将成为偏执狂并承担最坏的情况:我们存储在数据库中的数据以某种方式被访问,该公司在其写道。

然而,在人们进入歇斯底里之前,该公司很快就注意到,由于转移的规模,很可能不会采取大量数据。

我们大致知道传输的数据量,并且它足以传输人们的电子邮件地址,服务器盐以及来自数据库的盐渍密码哈希值。 我们还知道,所采集的数据量不足以让许多用户加密数据blob,它在博客上说。

尽管如此,Last Pass描述为可能的暴力攻击的妥协至少应该足以获取人们的用户名和加密密码。 它告诉人们使用字典密码来更改他们的主密码,而拥有复杂密码的人则可以。 此外,它还设置了电子邮件和IP授权。 这会使窃听破解无意义的暴力密码,因为那个人需要用户的电子邮件地址和IP。

LastPass首席执行官 ,该公司的回应可能有点过头了。 他说,黑客不太可能访问任何用户密码。 然而,该公司希望采取一个带有重大危险信号的最坏情况方案。

回想起来,我们可能会稍微过度一点,我们自己也许太过危言耸听了。 真正的信息需要是,如果你有一个强大的主密码,那么任何可以做的事都不会暴露你的数据。 我们唯一担心的是弱者。 这就是为什么我们要做出所有这些举动,Siegrist对PCWorld

然而,安全公司DuoSecurity确信LastPass很可能拥有。 在 ,DuoSecurity专家Jon Oberheide表示,如果他是LastPass的用户,他将继续前进,假设它确实受到了损害并且主密码数据库已成功泄露。 他说他在LastPass的博客中找到了一条关于其Asterisk手机服务器对UDP更加开放的一条线路,因为他说Asterisk没有很好的跟踪记录。

Oberheide建议用户通过他们的LastPass钥匙串并更改任何对他们重要的网站的密码。 如果你想确保你的安全,你应该假设主密码数据库和加密的blob被泄露,攻击者将成功破解你的主密码,从而恢复钥匙串中所有保存的条目。 Oberheide说,比抱歉更安全。

在Twitter上关注Gabriel Perna


载入中...

(责任编辑:籍椴唇)
  • 热图推荐
  • 今日热点