LastPass要求用户将主密码更新为至少12个字符

LastPass正在迫使所有用户将他们的主密码更改为至少12个字符，这可能是对该公司2022年黑客攻击的回应。

LastPass周四向用户发送了一封关于新要求的电子邮件。“所有主密码必须至少包含12个字符。如果你的主密码少于12个字符，你将被要求更新它。

这封电子邮件补充说，LastPass通过制定新的要求，“致力于满足最新的行业安全标准和最佳实践”。LastPass的一位发言人补充说，这不是对新威胁或事件的回应。

该公司计划发布一份更详细的声明。然而，LastPass也可能是对最近一篇关于去年大规模入侵事件的报道做出反应，该事件涉及一名黑客洗劫了所有用户的密码库。虽然被盗的金库是加密的，但你仍然可以破门而入–如果你能正确猜测每个金库的主密码的话。

这可能会发生在LastPass泄密事件的一些受害者身上。据记者布莱恩·克雷布斯报道，安全研究人员怀疑骗子一直在破解金库的主密码，使他们能够访问加密货币钱包的登录信息。

在自动化软件的帮助下，如果登录使用的字符更少，破解密码就会变得非常容易。在LastPass的案例中，该公司从2018年开始要求新用户的主密码长度至少为12个字符。但根据Krebs的说法，它忽视了对现有用户的要求。此外，LastPass可能未能通过足够的加密例程运行主密码，以防止潜在的密码破解。

黑客似乎从150多名受害者那里窃取了3500万美元。没有证据表明加密货币被盗与LastPass的入侵有关，但看起来LastPass正在努力追赶，并为所有用户加强登录安全，尽管损害已经造成。本月早些时候，该公司还开始要求用户重置其账户的多因素身份验证(MFA)，作为另一项预防措施。

该公司对PCMag表示：“MFA的重新注册不能仅靠LastPass一家完成，需要我们的客户采取行动完成这一过程。”我们的部分客户仍未执行此建议操作，因此我们将提示他们在下次登录LastPass时完成此步骤。

更新：LastPass向PCMag提供了一份关于新要求的更长声明：

LastPass新的主密码长度要求是一系列计划和渐进举措的一部分，旨在为我们的客户提供更安全的体验，我们在今年3月承诺。从历史上看，尽管12个字符的主密码自2018年以来一直是LastPass的默认设置，但客户仍然可以放弃默认设置，如果他们想这样做的话选择使用更少的字符。通过强制执行最低12个字符的主密码要求，以及我们在今年早些时候提供的PBKDF2迭代增加，我们正在帮助我们的用户创建更强大、更具弹性的加密密钥，用于访问和加密他们的LastPass金库数据。

这些举措始于几个月前的2023年4月，当时所有新的LastPass客户和任何重新设置主密码的现有客户都被要求创建一个至少12个字符的主密码。现在，从10月份开始，LastPass将要求所有现有客户将他们的主密码更新到至少12个字符。为了准备这一新要求，我们本周开始向免费、高级和家庭客户发送电子邮件，建议他们尽快将主密码更新到至少12个字符，以避免账户受到任何干扰。

同样，我们计划从10月份开始向我们的业务、企业和团队客户发送电子邮件，告知他们这一要求。已经确认其主密码为12个或更多字符的LastPass客户无需采取任何行动。