LastPass 声称破解用户的主密码需要数百万年,但一家竞争对手公司声称这个过程不会花费那么长时间,而且只需 100 美元即可完成。
LastPass 是一家颇受欢迎的密码管理公司,最近因 8 月份的一次攻击获得了客户数据保险库而遭到抨击。
现在,该公司的竞争对手 1Password 声称 LastPass 没有充分保护客户的数据。
1Password 的主要安全架构师 Jeffrey Goldberg 在一篇博文中解释了使用机器生成密码而不是用户生成密码的重要性。
“如果你考虑所有可能的 12 字符密码,大约有 272 种可能性。尝试所有这些密码需要数百万年的时间。事实上,这需要更长的时间,”他写道。 “但破解人为密码的人不会那样做。他们将自己的系统设置为首先尝试最有可能的密码。”
Goldberg 指出,大多数用户创建的密码只需花费不到 100 亿次猜测即可破解,整个过程的成本仅为 100 美元左右。
这对普通用户来说是个坏消息,他们通常会创建比机器生成的密码更短、更简单的密码。
他指出 1Password 增加了一层额外的保护——密钥。 客户的密钥在设备上创建,永远不会发送到 1Password,并且需要解密用户数据。
因此,虽然理论上黑客可能能够获得 1Password 用户的主密码,但如果没有 Secret Key,那将毫无用处。
该博客最后向用户保证 1Password 已经超越了保护他们的数据的范围,即使用户没有遵循最佳实践并使用机器生成的密码也是如此。
“我们没有被破坏,我们也不打算被破坏。但我们知道我们必须计划被破坏,”戈德堡写道。 “1Password Secret Key 可能不是我们以人为本的设计中最人性化的方面,但这意味着我们可以充满信心地说,在发生泄露时,您的秘密将保持安全。”
LastPass 过去曾因有问题的安全做法而受到抨击。
2021 年 12 月,LastPass 成员报告多次尝试使用正确的主密码从不同位置登录。 该公司向客户保证,攻击是密码在第三方违规中泄露的结果。
2021 年 2 月,一名安全研究人员在 LastPass Android 应用程序中发现了七个追踪器。