LastPass披露的密码库泄露事件正在被安全专家们撕成碎片

By Mitchell Clark

Updated Dec 29, 2022, 8:39 AM GMT+8

上周，就在圣诞节前，LastPass发布了一份令人震惊的声明:由于8月份的一次入侵，并导致11月份的另一次入侵，黑客们已经掌握了用户的密码库。虽然该公司坚称你的登录信息仍然是安全的，但一些网络安全专家对其帖子进行了严厉批评，称这可能会让人们感到比实际情况更安全，并指出这只是一系列事件中最新的一起，让人很难信任密码管理器。

LastPass 12月22日的声明“充满了遗漏、半真半假和彻头彻尾的谎言”，安全研究员Wladimir Palant在一篇博文中写道，他以帮助最初开发AdBlock Pro而闻名。他的一些批评涉及该公司对事件的描述，以及它的透明度;他指责该公司试图将8月份LastPass称“一些源代码和技术信息被盗”的事件描述为单独的漏洞，而他表示，实际上该公司“未能控制”漏洞。

他还强调LastPass承认泄露的数据包括“客户访问LastPass服务的IP地址”，并表示如果LastPass记录了你使用其服务的每个IP地址，这可能会让威胁行为者“创建一个完整的客户移动配置文件”。

另一位安全研究人员杰雷米·戈斯尼(Jeremi Gosney)在Mastodon上写了一篇长文，解释他建议换用另一个密码管理器。他说:“LastPass所谓的‘零知识’是一个无耻的谎言。”他声称，该公司掌握的知识“几乎是密码管理器所能掌握的最多的知识。”

LastPass声称其“零知识”架构保证了用户的安全，因为该公司永远无法获得用户的主密码，而黑客需要主密码才能解锁被盗的金库。虽然戈斯尼没有对这一点提出异议，但他确实表示，这种说法具有误导性。“我想大多数人都把他们的保险库想象成一种加密的数据库，整个文件都受到保护，但没有——使用LastPass，你的保险库是一个明文文件，只有少数选择的字段是加密的。”

帕兰特还指出，只有当黑客无法破解你的主密码时，加密才有任何好处，这是LastPass的主要防御措施:如果你使用默认的密码长度和强化，并且没有在其他网站上重复使用，“使用普遍可用的密码破解技术，要猜出你的主密码需要数百万年的时间”，该公司首席执行官卡里姆·图巴写道。

帕兰特写道:“这为指责客户做好了准备。LastPass应该意识到，至少部分客户的密码会被解密。”他们已经有了一个方便的解释:这些客户显然没有遵循他们的最佳做法。”不过，他也指出，LastPass并没有强制执行这些标准。尽管该公司在2018年将12个字符的密码设置为默认密码，但帕兰特说:“我可以用8个字符的密码登录，没有任何警告或提示要更改密码。”

LastPass的帖子甚至引起了竞争对手1Password的回应——周三，该公司的首席安全架构师杰弗里·戈德堡在其网站上发表了一篇题为《百万年也不会:破解LastPass密码的难度要小得多》的文章。在这篇文章中，戈德堡称LastPass公司声称需要100万年才能破解主密码的说法“极具误导性”，他说这一统计数据似乎假设密码是随机生成的12个字符。他写道:“人类创建的密码远远不能满足这一要求。”他说，威胁行动者可以根据人们构造他们实际能记住的密码的方式来优先考虑某些猜测。

当然，竞争对手的话可能不太可信，尽管Palant在他的帖子中回应了类似的想法——他声称，病毒式XKCD创建密码的方法在单个GPU上需要大约3年的时间才能猜出来，而一些11个字符的密码(许多人可能认为很好)在相同的硬件上只需要大约25分钟就能破解。毫无疑问，一个积极的参与者试图破解一个特定目标的金库，可能会使用多个GPU来解决这个问题，可能会将时间缩短几个数量级。

戈斯尼和帕兰特也都对LastPass的实际加密技术提出了异议，尽管原因不同。戈斯尼指责该公司基本上犯了“所有‘加密101’罪”，包括加密的实现方式，以及一旦数据被加载到你的设备内存中，它是如何管理数据的。

与此同时，帕兰特批评该公司的帖子将其名为PBKDF2的密码强化算法描绘成“比典型更强”。该标准背后的想法是，它使暴力猜密码变得更加困难，因为你必须对每次猜密码执行一定数量的计算。帕兰特写道:“考虑到10万次PBKDF2迭代是我在目前所有密码管理器中见过的最低次数，我真的很想知道LastPass认为典型的次数是多少。”

另一个流行的密码管理器Bitwarden说，它的应用程序使用了100,001次迭代，当你的密码存储在服务器上时，它还会再增加10万次迭代，总共是200,001次。1Password表示，它使用了10万次迭代，但其加密方案意味着你必须同时拥有秘钥和主密码才能解锁数据。戈斯尼表示，这一功能“确保了如果任何人获得了你的金库副本，他们无法仅通过主密码访问它，从而使它无法被破解。”

帕兰特还指出，LastPass并不是一直都有这种级别的安全，旧的账户可能只有5000次或更少的迭代——科技博客The Verge上周证实了这一点。这一点，再加上LastPass仍然允许你拥有一个8个字符的密码，这让人很难把LastPass所说的破解主密码需要数百万年的时间当真。即使对于新开了一个账户的人来说是这样，那么那些使用该软件多年的人呢?如果LastPass没有发出警告，也没有强制升级到这些更好的设置(帕兰特表示，他本人并没有这样做)，那么它的“默认设置”就不一定能用来衡量用户应该有多担心。

另一个症结是，LastPass多年来一直忽视对url等数据进行加密的请求。帕兰特指出，知道人们的账户在哪里可以帮助黑客专门针对个人。“威胁分子会很想知道你能接触到什么。然后他们就可以为那些值得他们努力的人制作针对性很强的钓鱼邮件。”他还指出，有时保存在LastPass中的url可能会给人们提供超出预期的访问权限，例如密码重置链接没有正确过期。

还有一个隐私角度;你可以根据一个人使用的网站来了解他。如果你用LastPass存储一个小众****的账户信息呢?有人能根据你的公用事业提供商账户找出你住的地方吗?你使用同性恋约会软件的信息会让你的自由或生命处于危险之中吗?

包括戈斯尼和帕兰特在内的几位安全专家似乎都同意的一件事是，这次入侵并不能证明基于云计算的密码管理器是一个坏主意。这似乎是对那些宣扬完全离线密码管理器的好处的人的回应(甚至只是在笔记本上写下随机生成的密码，就像我看到的一个评论所建议的那样)。当然，这种方法有明显的好处——一家存储数百万人密码的公司会比一个人的电脑更容易受到黑客的关注，而获取云上以外的东西要难得多。

但是，就像加密承诺让你成为自己的****一样，运行自己的密码管理器可能会带来比人们意识到的更多的挑战。由于硬盘崩溃或其他事故而失去你的金库可能是灾难性的，但备份它会带来风险，使它更容易被盗。(你也记得告诉自动云备份软件不要上传你的密码，对吧?)另外，在设备之间同步离线保险库，说得委婉点，有点痛苦。

至于人们应该如何应对这一切，帕兰特和戈斯尼都建议至少考虑换用另一个密码管理器，部分原因是LastPass处理此次漏洞的方式，而且这是该公司十多年来发生的第七次安全事件。戈斯尼写道:“很明显，他们不关心自己的安全，更不关心你的安全。”而帕兰特则质疑，为什么LastPass在黑客从第三方云存储复制金库时没有察觉到。(该公司的帖子称，它“增加了额外的日志记录和警报功能，以帮助检测任何进一步的未经授权的活动。”)

LastPass表示，在这次入侵事件发生后，大多数用户不需要采取任何措施来保护自己。帕兰特不同意这种说法，称该建议为“重大过失”。相反，他说，任何拥有简单的主密码、迭代次数较少(以下是检查方法)或潜在的“高价值目标”的人都应该考虑立即更改所有密码。

这是假期里最有趣的事情吗?不。但在有人用偷来的密码访问了你的账户后，清理也不是什么好事。

美国东部时间12月28日晚7:39更新:更新后加入了1Password的评论，该评论发表了自己对LastPass声明的反驳。

更正12月29日上午11:24东部时间:本文的前一个版本误解了Palant关于破解XKCD普及的密码结构是多么容易的说法。我们对这个错误感到遗憾。