12 月 28 日消息,密碼管理工具 LastPass 在圣誕節(jié)前發(fā)布公告,承認(rèn)發(fā)生于今年 11 月的安全事件中黑客竊取了包括名稱、URL、密碼(加密)在內(nèi)的用戶數(shù)據(jù)。一位安全研究專家在看到這則公告中忍不住發(fā)文,稱該公告存在 14 個(gè)疑點(diǎn),且避重就輕隱瞞了某些細(xì)節(jié),并以真假參半的方式混淆用戶視聽(tīng)。
安全專家 Wladimir Palant 在他的安全博客 Almost Secure 上發(fā)帖,認(rèn)為該公告存在 14 個(gè)疑點(diǎn),并逐條進(jìn)行了駁斥。
據(jù)了解,Palant 認(rèn)為 LastPass 淡化了風(fēng)險(xiǎn),并存在“嚴(yán)重疏忽”行為。這涵蓋了從該公司聲稱的透明度到其自身的安全做法等所有內(nèi)容。
其中一個(gè)有爭(zhēng)議的說(shuō)法是 LastPass 告訴客戶“如果你使用上面的默認(rèn)設(shè)置,使用普遍可用的密碼破解技術(shù),需要數(shù)百萬(wàn)年才能猜出你的主密碼”。而 Palant 表示對(duì)于普通用戶密碼來(lái)說(shuō),整個(gè)破解時(shí)間可能只需要 2 個(gè)月就可以完成,而不是“數(shù)百萬(wàn)年”。
來(lái)源:IT之家
