黑客借 LastPass 漏洞盗走用户密码

近日，全球知名的密码管理软件 LastPass 被爆出一条重大 bug ，可能够允许远程攻击者彻底获得用户账户信息。

LastPass 作为最好的密码管理工具之一，也可以作为一个浏览器扩展程序，为你自动填写登录信息凭证。你所需要做得只是记住一个主密码，便能解锁你不同网站帐号对应的密码，让你能够使用唯一密码就可以轻松实现登录不同的网站。然而这个密码管家，却不像他所声称的那样，牢不可破。

Google Zero 团队黑客 Tavis Ormandy 在 LastPass 中发现了一些安全问题，他可以拖出 LastPass 的密码库。

“人们真的正在使用 LastPass 这种密码管理工具码？我简单地看了下，就发现一些很严重的问题，我会尽快发送一份报告” Tavis Ormandy 在 Twitter 中说。

一旦黑客入侵了 LastPass 用户的账号，便能够通过密码，成功进入受害者其他在线服务的网站。目前， LastPass 正在处理相关高危漏洞，开发人员表示，相关技术问题的细节尚未对外透露。

###LastPass 也曾出现过类似的 Bug 无独有偶，另一位安全研究人员 Mathias Karlsson 也曾公布他在 LastPass 上发现的一些问题，而这些漏洞已经获得了修复。一个特制的网址就足以威胁到用户的账户安全。 Karlsson 在他的博客中解释到，黑客通过发送一条专门设置过的网站链接致受害者处，一旦用户点击，就有可能拿到受害者库中的密码。

这个特殊的漏洞可以隐藏在 LastPass 浏览器的密码带填功能中，这个存在于解析域名的漏洞，能够允许黑客欺骗目标域。

“通过浏览此网址： http://avlidienbrunn.se/@twitter.com/@hehe.php 浏览器会向像对待当前域 avlidienbrunn.se 一样，将 twitter 也作为访问对象” Karlsson 解释道。

因此，通过滥用 LastPass 的自动填充功能，黑客可以窃取受害者的密码，比方说， Facebook 的密码，通过向受害者发送包含 facebook.com 的 POC URL （概念验证网址）。这个特殊的漏洞已经在一天之内被官方修补，同时 Karlsson 甚至被 LastPass 授予了 1000 美元的奖金，以表彰他公布的重大漏洞。 ###如何能有效地降低漏洞带来的风险

此前 LastPass 在出现类似问题时，曾给用户提供了一些改进建议，以降低漏洞给用户带来的盗号风险。
1.及时更新你的的主密码；
2.开启两步验证功能，让所有从新设备或新 IP 地址登录帐号的用户都需要通过电子邮件去验证身份；
3.使用自带的密码生成器生产强密码，避免主密码和用于其他网站的登录的密码使用弱口令。

对于采用较弱主密码，例如将英文单词作为主密码的用户，重置主密码尤为重要，因为这类用户的密码更容易被黑客破解。如果用户还将这一主密码用于其他网站的帐号，那么也应当在相应网站上修改。

密码管理器还能用不？

不可否认，这些存在于密码管理软件中的问题，的确令人担忧。但这并意味着就要弃用密码管理工具。它仍然有助于督促用户对不同的网站帐号，使用独一和复杂的密码，提高帐号安全性。