科客點(diǎn)評(píng)：本地存儲(chǔ)密碼，不經(jīng)過服務(wù)器應(yīng)該安全點(diǎn)。

　　網(wǎng)絡(luò)信息安全一直是個(gè)吸引注意力和財(cái)力的問題。對(duì)于用戶來說，一個(gè)重要的風(fēng)險(xiǎn)來自人類不可靠的記憶力。為了讓自己記得住密碼，我們傾向于把所有賬戶設(shè)置成一個(gè)相同或相似的密碼，同時(shí)為了便于記憶加入了許多包含個(gè)人身份特征的字母數(shù)字。這就使黑客有機(jī)可乘。

　　在幾年之前，以 LastPass 為首的一批密碼管理服務(wù)想到一個(gè)絕妙的注意。他們?yōu)槊總€(gè)賬號(hào)生成一個(gè)獨(dú)特的密碼，隨機(jī)使用一串復(fù)雜的符號(hào)和數(shù)字，并把它們用軟件儲(chǔ)存起來。這樣用戶只需要管理好一個(gè)主密碼，就能提高大部分賬戶的安全性。

　　壞消息是，LastPass 不得不又一次承認(rèn)，密碼交給他們其實(shí)也不安全。本周一，LastPass 承認(rèn)在上周五遭到了黑客攻擊，導(dǎo)致部分用戶主密碼泄露。LastPass 得知消息后立即重置了這部分用戶的密碼，并要求通過郵箱認(rèn)證再次登錄。

　　但是這個(gè)消息也嚇壞了不少用戶。因?yàn)楹诳瞳@取了主密碼也就意味著獲取了其它所有賬號(hào)的密碼，他們可能利用此進(jìn)入價(jià)值更高的銀行賬戶、交易賬戶等。

　　“這件事的危害確實(shí)取決于(LastPass)在多短時(shí)間里發(fā)現(xiàn)了漏洞，而我們現(xiàn)在沒有任何這方面的信息。”斯坦福大學(xué)密碼學(xué)的研究員 Joseph Bonneau 在接受《連線》網(wǎng)站采訪時(shí)說。因?yàn)橥系迷骄?，進(jìn)入關(guān)鍵賬戶盜取信息的可能性就越大。

　　此前在 2011 年，LastPass 遭遇了它第一次密碼泄露危機(jī)。和 1PassWord 對(duì)密碼管理的方式不同，LastPass 為了方便提取，把用戶所有的密碼儲(chǔ)存在云端。這種云儲(chǔ)存方式，使它 24 小時(shí)都“在線”，反而增加了成為黑客目標(biāo)的可能。

　　LastPass 的泄露再次提醒人們，如果你對(duì)家人放心，拿起一個(gè)筆記本把密碼記在那里，可能是更安全的管理方式。（好奇心日?qǐng)?bào)，原標(biāo)題《又一個(gè)密碼管理服務(wù)被黑，密碼還是記在紙上更安全》）