还有什么比忘记密码更糟糕呢?偷来的。

密码管理器LastPass本周，由于其网络浏览器扩展被发现存在安全漏洞，微软陷入了困境。3月26日，谷歌安全研究员Tavis Ormandy揭露了他在谷歌Chrome浏览器中发现的LastPass客户端漏洞。LastPass承认了这个问题，并发誓要解决这个问题。

网络安全是今年3月的热门话题。在大范围内，维基解密中情局间谍活动的泄露文件在较小程度上，谷歌Allo被发现显示你最近的浏览历史．

“独特且高度复杂”的攻击

零项目安全研究员Tavis Ormandy揭示了他在Twitter上发布了在LastPass浏览器扩展中发现的客户端漏洞，并向该公司发送了一份报告。根据Project Zero的政策，在谷歌公开漏洞细节之前，LastPass现在有90天的时间来修复这个问题。LastPass立即采取行动解决这一安全漏洞。

LastPass承认了这一漏洞，并称这是一次“独特且高度复杂”的攻击。出于协议和安全考虑，该公司没有透露此次攻击的细节。

“我们不想透露任何关于漏洞或我们的修复程序的具体信息，这可能会向不那么复杂但邪恶的团体透露任何信息。”写了LastPass在其官方博客中写道。

LastPass还透露，一旦问题解决，将发布一份“更详细的事后分析”报告。

这不是Ormandy第一次暴露LastPass漏洞。今年3月初，奥曼迪报道两个独立的缺陷在LastPass的浏览器插件中。根据Ormandy的说法，第三个漏洞可能需要一段时间，称其为“主要架构问题”。

如何保护LastPass帐号

LastPass承认Ormandy在帮助公司“提高在线安全标准”方面所做的努力，并誓言要努力成为市场上最安全的密码管理器。作为预防措施，它分享了用户如何保护自己的账户免受这类安全漏洞的提示。

LastPass分享的一个建议是使用LastPass Vault作为密码保护网站的启动平台。根据LastPass的说法，这是访问他们凭证的最安全的方式，在漏洞解决之前都会是这样。

另一种是双因素认证。LastPass建议用户“尽可能”在自己的账户上这样做，因为大多数网站已经提供了这一选项。

最后，该公司对网络钓鱼攻击提出了警告，警告用户不要点击可疑链接，并建议他们阅读它网络钓鱼底漆．