加密貨幣只是冰山一角。我們無法知道到底有多少人因為 LastPass 資料外洩而成為其他類型詐騙的受害者。正是由於加密貨幣的公開性和高度線上性,安全研究人員才能夠追蹤駭客行為並將其歸因於 LastPass 漏洞。
由於這一切,LastPass受到了安全界的廣泛譴責,因為它允許駭客訪問客戶數據,未能遏制最初的違規行為,首先沒有採取足夠的安全措施,淡化違規的嚴重性,試圖責怪客戶沒有足夠強大的主密碼,並且通常只是對整個情況處理不當。
它正面臨集體訴訟,18 個月後,LastPass 的反應卻乏善可陳。 2023 年 9 月,也就是初次洩漏一年多後,它終於開始強制舊帳戶使用 12 個字元的主密碼,並自動將每個帳戶更新為至少 60 萬輪名為 PBKDF2 的演算法,該演算 新加坡電報電話號碼列表 法可減慢暴力破解主密碼的嘗試。 (此前,新帳戶的最低輪數為 100,100 輪,舊帳戶只需 5,000 輪、500 輪甚至 1 輪迭代即可獲得安全,無需升級。)
作為受影響的用戶之一,我不得不在寒假的一個下午花幾個小時更改大量密碼。 (我已經很多年沒有依賴 LastPass,所以我最重要的帳戶仍然安全。)
簡而言之,過去 18 個月的情況表明,LastPass 對於保護您儲存的密碼持相當傲慢的態度。
那麼 1Password 呢?
首先,1Password從未發生過資料外洩事件,儘管它已經成為攻擊目標。即便如此,該公司仍然對客戶坦誠誠實,並發布了一份完整的安全報告,詳細說明了所發生的情況。更重要的是:1Password 使用更安全的設定來加密您的保管庫,並加密每個欄位。雖然 LastPass 現在使用 600,000 輪 PBKDF2 作為所有帳戶的預設值,但1Password 使用 650,000 次迭代- 並且始終將舊帳戶更新為最新值。
即便如此,LastPass 僅使用您的主密碼鎖定您的保管庫,而 1Password 使用主密碼和額外的金鑰。