在 2022 年,密碼管理服務 LastPass 遭遇了最新的重大漏洞,這一次導致客戶保險庫數據丟失(參見“LastPass Shares Details of Security Breach”,2022 年 12 月 24 日)。幾個月後,該公司終於提供了更多關於違規、哪些數據被洩露以及用戶應如何應對的信息。新信息很有幫助,但並不會讓我後悔改用 1Password。
在 措辭謹慎的博文,LastPass 首席執行官 Karim Toubba 列出了兩個連鎖事件的更詳細的時間表,首先為LastPass 免費、高級和家庭用戶 以及 LastPass 企業用戶。最後,他總結了 LastPass 為 採取的行動更好地保護其係統。我特別感謝訪問的所有數據類型的詳盡列表,並附有關於哪些字段已加密的註釋
值得注意的是,該公司表示,它沒有收到攻擊者的消息,也沒有看到任何數據被使用的跡象。
沒有聯繫或提出要求,並且沒有檢測到可信的地下活動,表明威脅行為者正在積極參與營銷或出售在任一事件中獲得的任何信息。
如果您對安全方面的東西,各種帖子都值得一讀,LastPass 這次在溝通方面做得更好,即使它已經過期了。特別是,如果您仍在使用 LastPass,我推薦 按照公司的建議:
確保主密碼的強度 增加密碼迭代次數 打開或重置多因素身份驗證 查看安全儀表板 打開暗網監控
LastPass 還沒有尚未向 LastPass Free 用戶提供最後兩個選項,但該公司表示將很快啟用它們。有趣的是,LastPass 大大增加了密碼迭代次數。一些長期用戶仍然設置在現在低得離譜的 5,000,而新用戶有 100,000 次迭代。現在默認值是 600,000——這是一個很大的變化。
我想知道 Karim Toubba 必須經歷什麼。他於 2022 年 4 月加入 LastPass 擔任首席執行官,幾個月後,即 2022 年 8 月,第一次數據洩露事件發生了。從那以後,該公司可能一直處於危機模式,變化的程度(當然還要結合實際的數據洩露事件!)表明其先前的安全立場存在問題。我們希望成年人現在負責並採取正確的步驟來防止未來的違規行為。
從 LastPass 和 Authy 切換到 1Password
除了我對 LastPass 的界面、功能感到惱火之外和可靠性,漏洞是最後一根稻草,所以我切換到 1Password 和 從 LastPass 導入了我的數據。我選擇了從 LastPass 導出數據並將其導入 1Password 的方法,因為如果您在 LastPass 中啟用了多因素身份驗證,1Password 的直接導入功能將不起作用。我不願意禁用它,即使是暫時禁用它。
我還沒有完全準備好從 LastPass 中刪除我的所有數據,但是一旦我確信 1Password 具有我想要的所有功能,它就會出現在我的列表中.我意識到有些人對 1Password 8 的變化不滿意,但作為一個不特別使用以前版本的人,我並沒有感到不安。雖然並不完美,但 1Password 比 LastPass 優雅得多,LastPass 從未提供任何類似於原生 Mac 或 iOS 體驗的東西。在我使用 LastPass 的最後幾週尤其如此,當時感覺該公司正在快速改變以向用戶展示它正在做某事。
我特別喜歡使用我的 Apple Watch 來在我的 2020 款 27 英寸 iMac 和我的手錶上解鎖 1Password,或者在我的 M1 MacBook Air 上解鎖 Touch ID。 LastPass 不久前推出了基於應用程序的多因素身份驗證,但它從未正確接受來自其 watchOS 應用程序的輸入,迫使我每次都拿出我的 iPhone 以確認登錄其 iOS 應用程序。我隨後重置了 LastPass 的多因素身份驗證,以使用我存儲在 1Password 中的正常的基於時間的一次性密碼 (TOTP),每當我在 Mac 上登錄 LastPass 時它會自動填充它——與點擊按鈕相比的明顯改進在 LastPass 的 iPhone 應用程序中。
1Password 對 TOTP 的支持是一個巨大的勝利。我很早就開始使用身份驗證應用程序,當時 Google Authenticator 是市面上唯一的遊戲。當我了解到它的數據無法傳輸到新 iPhone 時(如果您可以在舊設備上掃描二維碼,現在可以),我切換到免費的 Authy 應用程序生態系統,運行良好,可以在我的 Mac、iPhone 和 iPad 上同步。 (我曾短暫試用過 LastPass Authenticator,但它僅適用於 iPhone 和 iPad,我討厭在 Mac 上登錄時轉向我的 iPhone。)
Authy 提供了 Authy Desktop 適用於 Mac 的應用程序,但每次我想登錄需要雙因素身份驗證的帳戶時,我都必須啟動 Authy Desktop,搜索網站(我有 28 個帳戶),單擊按鈕複製代碼,切換回我的 Web 瀏覽器,然後粘貼代碼。我考慮過使用 Keyboard Maestro 來自動化這個過程,但這只不過是脆弱的猴子點擊。 1Password 在登錄過程的下一步自動填充 TOTP 的方式讓我鬆了一口氣。
(Glenn Fleishman 提醒我,您可以選擇使用 Apple 對 TOTP 的多平台支持,但是僅適用於 macOS 的 Safari。如果您使用其他瀏覽器或應用程序,則必須調出 Safari > 首選項 > 密碼或密碼設置/首選項窗格,進行身份驗證、搜索、單擊和復制;請參閱他的文章“添加兩個-iOS 15、iPadOS 15 和 Safari 15 中密碼條目的因子代碼”,2021 年 10 月 7 日。當然,如果您的 iPhone 和密碼被盜,就會出現整個 iCloud 鑰匙串漏洞;請參閱“小偷如何使用您的 iPhone Passcode Can Ruin Your Digital Life”,2023 年 2 月 26 日。)
將我的雙因素身份驗證設置從 Authy 轉移到 1Password 既繁瑣又耗時。 Amazon Web Services 是唯一允許我將 1Password 註冊為附加身份驗證設備的服務。對於所有其他帳戶,我不得不重置雙因素身份驗證或將其關閉並重新打開。被完全鎖定在帳戶之外的威脅是可怕的,所以在我刪除 Authy 中的舊帳戶之前,我小心地將新的 TOTP 添加到 1Password 和 Authy(再次)。雖然我不希望在 1Password 中設置好所有內容後使用 Authy,但如果將 TOTP 與帳戶憑據一起存儲在 1Password 中感覺有問題,這感覺就像一個有用的備份。如果網站在啟用雙因素身份驗證時提供了一次性代碼或“臨時”代碼,請記住記錄它們——如果您的 TOTP 井噴,它們可能是一條生命線。
與《華爾街日報》的報導非常相似在 iPhone 密碼盜竊中,我開始將 LastPass 漏洞視為重新思考我的密碼安全方法的機會。在違規之前我對 LastPass 並不完全滿意,但無法鼓起轉換的熱情。通過有機地清理 1Password 中的重複項和其他垃圾,因為我需要使用關聯的網站,我可以輕而易舉地完成一項過於龐大而無法一次完成的任務——我有超過 900 次登錄。我最終會比以往更好地處理我的密碼。
但如果支持密鑰,我仍然會很高興——請參閱“為什麼密鑰比密碼更簡單、更安全”,2022 年 6 月 27 日— 迅速普及,以至於我不需要所有這些令人討厭的密碼!