LastPass存在一个严重漏洞,可泄露你的全部密码

640

LastPass被发现一个严重0day漏洞,远程攻击者可完全入侵你的账户。

LastPass是全球知名的云密码管理工具,采用了强大的密码加密算法(使用了256位的AES密匙),支持多款浏览器。用户只需记住一个主要的密码,便可安全管理其他账户密码,从而减轻了记密码的压力。

工具确实好用,但是却没有想象中安全!

Google Project Zero的研究人员Tavis Ormandy目前发现了几个LastPass 0day漏洞,可用它窃取存储在LastPass上的密码。

“真有人在用LastPass吗?我就随便看了几眼就发现一些严重的问题,我要尽快将这个报告整理出来。”

LastPass已经紧急修补了该漏洞,Firefox用户可将其升级至LastPass 4版本,至于漏洞的具体技术细节还没有公布出来。

巧合的是,另外一名安全人员Mathias Karlsson称,他也在LastPass上发现了数个漏洞,但都已经被修复了。

攻击者只需向受害者发送一个精心构造的URL,就能完全入侵用户账户,窃取其中的密码也就不在话下了。好在LastPass公司当天就修复了该漏洞,并给予了Karlsson1000美元的奖金。

尽管密码管理工具上漏洞百出,着实令人担忧,但并不能因此讳疾忌医,不再使用密码管理工具。

当下最好的建议就是尽量不要使用基于浏览器的密码管理工具,多使用离线版本的工具。

原创文章,作者:Sam,如若转载,请注明出处:http://www.mottoin.com/news/85333.html

发表评论

登录后才能评论

评论列表(2条)

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code