chaguwang.cn-查股网.中国
查股网.CN
飞天诚信(300386)内幕信息消息披露
 
个股最新内幕信息查询:    
 

偷家!密码(口令)管理器LastPass再次被黑 飞天诚信:我推荐Passwordless

http://www.chaguwang.cn  2026-06-30  飞天诚信内幕信息

来源 :飞天诚信2026-06-30

  近日,业界(因频繁被黑而)知名的密码(口令)管理器 LastPass发布公告透露,自己又被黑了……

  LastPass是一款跨平台密码管理器及页面过滤器,支持iOS、Android、黑莓等移动设备及多款浏览器,提供表单自动填充、强密码生成及云备份同步功能。该软件提供本地数据加密存储功能,常被推荐用于替代明文密码存储方式。用户的密码在本地加密存储(使用256位AES算法,需要提供用户主密码才能解密),并且在云端备份,以便在需要时同步到用户的其他设备。

  本次被黑是一次典型的供应链网络安全事件。据披露,有黑客攻击市场情报平台 Klue,LastPass市场推广团队恰恰使用了该平台。不仅如此,他们还将自己所使用的Salesforce 和 Gong 实例与Klue集成。黑客窃取了用于系统集成的 OAuth 授权令牌,这使得黑客可以使用令牌访问 LastPass 的销售管理系统、支持工单系统、客户管理系统。

  LastPass 警告称,用户的姓名、电话号码、电子邮件地址、家庭住址、支持工单信息、销售/客户管理相关数据可能已经泄露。接下来,用户可能会频繁收到各类冒充 LastPass 的钓鱼邮件。尽管用户的密码存储库尚未泄露,但如果用户不慎暴露关键信息(例如主密码),有可能导致自己的整个密码存储库被窃。

  这不是LastPass第一次被黑。去年LastPass曾经披露,该公司遭受了“二次协同攻击”:攻击者利用第三方媒体软件包中的远程代码执行漏洞以及此前入侵时窃取的信息,在一名高级DevOps工程师的计算机上安装了键盘记录器,成功窃取了员工在完成多因素身份认证(MFA)后输入的主密码(master password),借此获得了LastPass企业级密码库的访问权限。相比之下,这次被黑还算好的,至少用户密码存储库没有直接泄露。

  LastPass多次被黑,反映出传统密码管理模式的深层困境:把鸡蛋放在同一个篮子里,篮子本身却不一定安全。

  “无密码”(Passwordless)是 FIDO联盟提出的概念。FIDO 联盟成员包括谷歌、苹果、微软等等,致力于安全强度更高、使用更方便且更易于部署的身份认证机制(“simpler stronger authentication”)。来自世界各地的数百家技术公司和服务提供商在 FIDO 联盟和 W3C 的合作下创建了“无密码”登录标准(WebAuthn),该标准已经被数十亿设备和当前主流网络浏览器所支持。飞天诚信于2014年加入FIDO联盟,现为FIDO联盟董事会成员。

  作为 FIDO 联盟生态的重要参与者,飞天诚信构建了丰富的“无密码”FIDO Security Key产品线,为“无密码”的推广做出了扎实的贡献。飞天诚信于2014年加入FIDO联盟,目前是FIDO联盟董事会成员。飞天诚信FIDO Security Key全系列产品通过FIDO level 2认证,其安全性能够满足NIST SP 800-63B中最高级别(AAL3)的要求。用户可以通过USB-A、USB-C接口、NFC或BLE接口将FEITIAN FIDO Security Key连接到电脑或手机,快速、安全地完成账号登录或单点登录。飞天诚信FIDO Security Key系列产品现已支持Google、AWS等众多在线服务。

  密码管理的终极答案,不是更好的"记密码"工具,而是"无密码"本身。

有问题请联系 767871486@qq.com 商务合作广告联系 QQ:767871486
Copyright 2007-2026
www.chaguwang.cn 查股网