你可能聽說過,人們應該多多利用密碼管理工具,產生獨特且具有強度的密碼以使用各式各樣的網路服務,同時便於追蹤管理。如果你選擇了主流的免費工具,很有可能就是最近爆發嚴重資料外洩事件的 LastPass,那麼你應該考慮重新設定所有密碼,並且尋求更安全的方案。
一週前 LastPass 提供的詳細資訊足以讓用戶擔憂,後續卻沒有再為用戶提供更多資訊和協助,例如究竟有多少密碼在這起事件遭外洩、又有多少用戶受到影響。LastPass 也沒有明確澄清事件發生的確切時間,由於駭客通常需要一段時間才能破解資料庫金鑰,如果已經用了 3、4 個月處理到手的 LastPass 數據資料,對受影響的用戶恐怕更嚴重。
這起事件中外洩的用戶數據資料,包括姓名、電子郵件地址、電話號碼以及一些帳單資訊。LastPass 長期因以混合格式儲存資料庫數據而受到批評,雖然密碼等項目會加密,但網址連結等資訊卻未加密。在這種情況下,資料庫的純文字連結可讓駭客了解資料中可能有哪些值錢的東西,幫助他們確認可先破解資料庫哪個部分。用戶現在修改 LastPass 的主要密碼也無濟於事,因為背後保管的所有服務密碼和重要資訊已被竊取。
資安專業人士紛紛呼籲大家趕緊轉換其他密碼管理工具,還要更新所有網路服務的密碼,並採取額外措施保護自己。盡可能啟用雙重驗證,即使駭客試圖登入你的帳號,沒有第二道關卡的驗證碼輸入或透過行動裝置上的生物辨識登入機制,也無法順利登入你的帳號。尤其針對電子郵件信箱、金融服務以及社交媒體的帳號,這些屬於高價值的帳號。
值得注意的是,資安業者普遍強調,雖然爆發 LastPass 這樣的資料外洩事件,但人們仍應使用密碼管理工具。一般人常用過短、易記的密碼,且在多個帳號重複使用同一組密碼,無法保障個人資訊安全,需要借助密碼管理工具以產生具有強度的密碼。如果你是 LastPass 的忠實用戶,你仍應該趕緊更改主要密碼,同時為所有網路服務開啟雙重驗證。
人人都需要使用到密碼,大部分的人會因為方便而都用同一組密碼,也會使用好記或跟個資有關的密碼,也有報導指出2022年最常使用的密碼是password、123456,關於個資問題千萬不要懶惰,建議密碼可用英文大小寫及數字組合,使用讓人不易猜測的,避免有心人士濫用。
詳文請見TechNews原文新聞稿