导读 不久前发生安全漏洞后,LastPass最近更新了其用户,他们透露黑客已成功获取了属于其用户的密码库的备份。这可能是可能发生的最糟糕的事情之...
不久前发生安全漏洞后,LastPass最近更新了其用户,他们透露黑客已成功获取了属于其用户的密码库的备份。
这可能是可能发生的最糟糕的事情之一,但根据LastPass的说法,他们使用的加密和安全协议意味着黑客将很难闯入,或者他们可以吗?安全研究员弗拉基米尔·帕兰特(WladimirPalant)在他的网站上发表的博客文章中并不这么认为,他声称情况可能比我们想象的要糟糕得多。
在他的帖子中,他指出了LastPass声明中的具体要点,例如该公司声称需要“数百万年”才能猜出您的主密码,但实际上,这只需要短短两个月的时间,而且黑客只需要一个GPU就可以破解它。假设黑客能够访问更强大的硬件,这可能会减少时间。
“我会翻译:“如果你做的一切都是正确的,那么你就不会发生任何事情。”这又为指责顾客埋下了伏笔。人们会认为“测试最新密码破解技术”的人会比这更了解。据我计算,即使使用单个显卡猜测一个符合其复杂性标准的真正随机密码,平均也需要不到一百万年的时间。
但人类选择的密码远非随机的。大多数人甚至很难记住真正随机的12个字符的密码。一项较早的调查发现,密码的平均熵为40位。在同一张显卡上,只需两个多月的时间就可以猜出此类密码。即使是具有50位熵的异常强密码,平均也需要200年——对于有人会投入更多硬件的高价值目标来说,这并非不现实。”
那么这对用户意味着什么呢?基本上,您应该去更改保险库中的所有密码,特别是对于更重要的帐户,例如银行帐户、电子邮件帐户等。根据您存储的密码数量,这可能需要一段时间,但安全总比后悔好!