如果您曾使用过LastPass，请立即更改所有密码

个人详细信息和保险库，其中包含数百万用户的登录凭据，现在控制在犯罪分子手中。如果您曾经使用过密码管理器LastPass，则现在应该更改所有密码。您还应立即采取进一步措施保护自己。

2022年LastPass数据泄露事件发生了什么？

LastPass是一种采用“免费增值”模式的密码管理服务。用户可以使用LastPass存储所有在线服务的密码和登录凭证，并通过Web界面、浏览器插件和专用手机应用程序进行访问。

密码存储在“保险库”中，由一个主密码保护。

2022年8月，LastPass宣布犯罪分子使用被入侵的开发者账户访问了LastPass开发环境、源代码和技术信息。

2022年11月，LastPass发布了进一步的细节，指出部分客户数据已被披露。

在2022年12月22日，LastPass的一篇博客文章揭示了数据泄露的真实严重性，指出犯罪分子利用之前攻击获取的某些信息窃取了备份数据，包括客户姓名、地址和电话号码、电子邮件地址、IP地址以及部分信用卡号。此外，他们还设法窃取了用户的密码保险库，其中包含未加密的网站URL和站点名称，以及加密的用户名和密码。

犯罪分子难以破解您的LastPass主密码吗？

从理论上讲，如果您使用LastPass的默认推荐设置，犯罪分子应该很难破解您的主密码。LastPass的博客文章指出，如果使用通用的密码破解技术，“要猜出您的主密码可能需要数百万年时间。”

LastPass要求主密码最少为12个字符，并建议“永不在其他网站上重复使用您的主密码。”

然而，LastPass在密码管理服务中是独一无二的，它允许用户设置一个密码提示，以便在忘记主密码时提醒他们。事实上，这鼓励用户在密码中使用词典中的单词和短语，而不是真正随机的强密码。如果您的密码是“lVoT=.N]4CmU”，任何密码提示都无法帮助您。

LastPass的密码保险库已经落入犯罪分子手中一段时间了，尽管它们是加密的，但最终它们将成为暴力破解的目标。

由于存在大量常用密码的数据库，攻击者会更容易地找到他们的目标。例如，您可以从“haveibeenpwned”下载一个包含6.13亿个最常用密码的17GB密码列表。其他密码和凭据列表也可以在暗网上找到。

尝试对一个保险库尝试每个最常用的五亿个密钥只需要几分钟的时间，虽然相对较少的几个密钥会是所需的12个字符，但是很可能犯罪分子能够轻松地破解其中很大一部分的保险库。

再加上计算能力年复一年地增加，以及有动机的犯罪分子可以利用分布式网络来帮助攻击；对于大多数账户来说，“数百万年”的时间似乎是不可行的。

LastPass数据泄露只影响密码吗？

尽管犯罪分子可以慢慢破解您的LastPass保险库，但他们可以利用您的姓名、地址、电话号码、电子邮件地址、IP地址和部分信用卡号码来对您进行其他方式的攻击。

这些信息可以用于多种恶意目的，包括针对您和您的联系人的定向钓鱼攻击、身份盗窃、以您的名义申请信用和贷款以及SIM卡交换攻击。

LastPass数据泄露后如何保护自己？

您应该假设在未来几年内，您的主密码将会被泄露，并且其中包含的所有密码将为犯罪分子所知。您应该立即更改它们，并使用以前从未使用过且不在任何常用密码列表中的唯一密码。

至于从LastPass获取的其他数据，您应该冻结您的信用，并使用信用监控服务监视以您名义提交的任何新的信用卡或贷款申请。如果您能够在不太麻烦的情况下更改电话号码，也应该这样做。

对您自己的安全负责

容易将LastPass指责为数据泄露事件将您的密码保险库和个人详细信息落入犯罪分子手中，但是密码管理服务依然是安全保护网络生活和生成唯一组合的最佳方式。

为了让潜在的窃贼更难获取您的重要数据，一种方法是在自己的硬件上托管密码管理器。这样做非常廉价、简单，而且一些解决方案，如VaultWarden，甚至可以部署在Raspberry Pi Zero上。