共计 1044 个字符，预计需要花费 3 分钟才能阅读完成。

LastPass 的网络上周五被黑客攻破，攻击者可能窃取了用户帐号的电子邮件地址、密码提醒信息，以及用于认证的哈希信息。根据这些信息，攻击者有可能猜出较弱的用户主密码。LastPass 声称，虽然加密的用户数据库在攻击中被盗走，但并没有迹象表明用户账号遭到不法分子的登入。

据 LastPass 官方博客介绍，上周五 LastPass 的网络被黑客攻破，该公司的信息安全团队在对“可疑活动”进行调查后发现，没有任何证据表明攻击者从用户密码库中窃取了加密数据，也没有获取用户的帐户信息。

不过，攻击者可能窃取了用户帐号的电子邮件地址、密码提醒信息，以及用于认证的哈希信息和个人 Salt 信息。根据这些信息，攻击者有可能猜出较弱的用户主密码。

LastPass 声称，对自己的加密措施非常有信心，它足够保护大部分的用户。LastPass 的哈希认证采用随机因子以及服务器端的 PBKDF2-SHA256 算法进行了 10 万个循环，而并非在客户端执行，这使得根据被盗的哈希值进行解密的难度大为增加，也就是说，被盗走的哈希会遭到攻击，但不会那么快。但是，根据这些信息，攻击者有可能猜出较弱的用户主密码。

对于这次安全事故，LassPass 已经向所有用户发送了邮件通知，LastPass 建议，该服务的所有用户都需要设置新的主密码，此外，所有从新设备或新 IP 地址登录帐号的用户都需要通过电子邮件去验证身份。如果用户在其他网站里使用了和 LassPass 主密码相同的密码，应该也将这些密码进行修改。

在线密码管理器 LastPass 被黑客攻破

由于用户的密码库并没有被盗取，因此用户没有必要修改 LassPass 密码库中的密码，向往常一样，LassPass 强烈建议用户开启两步验证功能，为 LassPass 账户提供额外的保护。

LastPass 这次安全事故对于一个专门从事于安全领域的公司来说是致命一击，最具讽刺意味的是，专门从事密码保护服务却被黑客来了个一锅端，用户将自己最重要的密码保存在这个网站上，结果反而增加了安全隐患，那么用户就只能放弃这个服务，或许，将最重要的密码（例如网银和支付密码）记在脑子里，可能才是最安全的。

相对于本地密码管理来说，LastPass 的主要特点是方便，多台电脑和手机可以同步密码，用起来方便，但这也带来服务器端系统被攻击的可能性，建议使用 LastPass 一定要开两步认证，网银和支付密码不要放在 LastPass 里。

LastPass 是当前最热门的密码保管服务之一，免费为用户保存多个网站的密码，做到自动登录各个网站。