还有什么比忘记密码更糟糕呢?偷来的。
密码管理器LastPass本周,由于其网络浏览器扩展被发现存在安全漏洞,微软陷入了困境。3月26日,谷歌安全研究员Tavis Ormandy揭露了他在谷歌Chrome浏览器中发现的LastPass客户端漏洞。LastPass承认了这个问题,并发誓要解决这个问题。
网络安全是今年3月的热门话题。在大范围内,维基解密中情局间谍活动的泄露文件在较小程度上,谷歌Allo被发现显示你最近的浏览历史.
“独特且高度复杂”的攻击
零项目安全研究员Tavis Ormandy揭示了他在Twitter上发布了在LastPass浏览器扩展中发现的客户端漏洞,并向该公司发送了一份报告。根据Project Zero的政策,在谷歌公开漏洞细节之前,LastPass现在有90天的时间来修复这个问题。LastPass立即采取行动解决这一安全漏洞。
LastPass承认了这一漏洞,并称这是一次“独特且高度复杂”的攻击。出于协议和安全考虑,该公司没有透露此次攻击的细节。
“我们不想透露任何关于漏洞或我们的修复程序的具体信息,这可能会向不那么复杂但邪恶的团体透露任何信息。”写了LastPass在其官方博客中写道。
LastPass还透露,一旦问题解决,将发布一份“更详细的事后分析”报告。
这不是Ormandy第一次暴露LastPass漏洞。今年3月初,奥曼迪报道两个独立的缺陷在LastPass的浏览器插件中。根据Ormandy的说法,第三个漏洞可能需要一段时间,称其为“主要架构问题”。
如何保护LastPass帐号
LastPass承认Ormandy在帮助公司“提高在线安全标准”方面所做的努力,并誓言要努力成为市场上最安全的密码管理器。作为预防措施,它分享了用户如何保护自己的账户免受这类安全漏洞的提示。
LastPass分享的一个建议是使用LastPass Vault作为密码保护网站的启动平台。根据LastPass的说法,这是访问他们凭证的最安全的方式,在漏洞解决之前都会是这样。
另一种是双因素认证。LastPass建议用户“尽可能”在自己的账户上这样做,因为大多数网站已经提供了这一选项。
最后,该公司对网络钓鱼攻击提出了警告,警告用户不要点击可疑链接,并建议他们阅读它网络钓鱼底漆.