IT之家 12 月 28 日消息,密碼管理工具 LastPass 在圣誕節(jié)前發(fā)布公告,承認發(fā)生于今年 11 月的安全事件中黑客竊取了包括名稱、URL、密碼(加密)在內(nèi)的用戶數(shù)據(jù)。一位安全研究專家在看到這則公告中忍不住發(fā)文,稱該公告存在 14 個疑點,且避重就輕隱瞞了某些細節(jié),并以真假參半的方式混淆用戶視聽。
安全專家 Wladimir Palant 在他的安全博客 Almost Secure 上發(fā)帖,認為該公告存在 14 個疑點,并逐條進行了駁斥。
IT之家了解到,Palant 認為 LastPass 淡化了風險,并存在“嚴重疏忽”行為。這涵蓋了從該公司聲稱的透明度到其自身的安全做法等所有內(nèi)容。
其中一個有爭議的說法是 LastPass 告訴客戶“如果你使用上面的默認設(shè)置,使用普遍可用的密碼破解技術(shù),需要數(shù)百萬年才能猜出你的主密碼”。而 Palant 表示對于普通用戶密碼來說,整個破解時間可能只需要 2 個月就可以完成,而不是“數(shù)百萬年”。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。