lastpass - 腾讯云开发者社区

文章/答案/技术大牛

发布

LastPass泄露明文密码

LastPass是一款流行的在线密码管理器，近日，国外安全团队发现LastPass的一个安全BUG，可能允许攻击者获取存储的LastPass密码。...该BUG只存在于LastPass v2.0.20版本，并且只对使用IE浏览器的用户有影响。...LastPass的自动填写功能，密码能够以明文存储的方式记录到计算机的内存，黑客可以通过内存转储提取密码。...LastPass官方人员表示该漏洞影响的范围是有限的，并且非常难以利用，一是要求使用IE浏览器，二是攻击者需要有系统权限搜索内存中存储的密码，读取内存中的数据非常容易，但是前提是能控制目标机器。...不过LastPass表示，他们已经在最新版本中修复了该BUG，并且包含了一些新的功能，建议所有用户更新到最新版本

1.4K3 0

破解加密的LastPass数据库

LastPass自己也发布了一篇博文。简而言之就是，2022年8月，LastPass遭遇数据泄露，用户数据和源代码被盗。LastPass没有很好地让公众（和用户）知道此次的泄露实际上有多糟糕。...LastPass浏览器扩展在Chrome浏览器上，每个扩展都有一个独特的ID。LastPass扩展使用hdokiejnpimakedhajhdlcegeplioahd作为ID。...图片要使用Hashcat破解LastPass数据库，你需要有3样东西。...有用的链接和参考资料Lastpass Data Breach covered by The Verge (2022)Lastpass new App hash extraction on Hashcat...Forums (2020)Lastpass hashes on Hashcat Forums (2013)Hashcat lastpass benchmark (2013)Breaking Lastpass

3.1K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

LastPass：黑客获得云存储访问密钥，用户信息泄露

根据调查，黑客利用在 LastPass 今年 8 月的漏洞事件中获得的信息访问了一个基于云的存储环境。...黑客通过一个受感染的开发者账户对 LastPass 开发环境部分的未经授权访问，并“获取了部分源代码和一些专有的 LastPass 技术信息”。...目前，LastPass 生产服务在本地数据中心运行，用云来存储备份数据等。驻留要求。黑客访问的云存储服务与生产环境在物理上是分开的。...这些加密字段通过 256 位 AES 加密保持安全，并且只能通过使用 LastPass 的零知识架构从每个用户主密码派生的唯一加密密钥解密。...不过 LastPass 表示，自己永远不知道主密码，也不会存储或维护。数据的加密和解密仅在本地 LastPass 客户端上执行。

1.4K1 0

解析针对知名密码存储软件LastPass的钓鱼攻击

最近作者发现了一个针对LastPass的钓鱼攻击，其允许攻击者窃取一个LastPass用户的邮箱、密码甚至二次验证的验证码，这就使得攻击者可以完全获取到用户存储在LastPass上的密码和文档。...因为 LastPass 让用户习惯浏览器窗口内弹出的通知，这使得用户对此毫无防范——LastPass 登录界面和二次验证窗口都是显示在浏览器内的。 ? ?...检测LastPass并推送通知如果用户安装有 LastPass 则推送登录过期的通知并注销用户的 LastPass。...LastPass 存在一个注销账户的 CSRF 漏洞，利用这个漏洞任何网站任何用户都可以注销 LastPass。这样在用户看来他们的会话真的是过期需要重新登录了。 ?...但在这里不是很有用，因为 LostPass 和 LastPass 仅有细微的很能察觉的区别； 2. LastPass的登录过程非常复杂也比较混乱。

1.1K8 0

从LastPass转向拥抱开源KeePass的心路历程

LastPass、KeePass都是很好的个人密码管理软件，与之类似的还有Bitwarden、1password等，它们之间各有特性，最近从LastPass全面转移到KeePass，KeePass 是一款管理密码的开源的免费软件...本文记录最近从LastPass转向拥抱开源KeePass的心路历程，为什么转，转向哪里，怎么转。...为什么从LastPass转为KeePass 之前一直使用LastPass个人版并且也完全满足我的需求，PC端使用浏览器插件，Android移动端使用的4.4版本（比较老的版本，还是支持中文版本的时代），...随后又触发了LastPass的单设备限制机制（之前没有触发过PC和Android都能用是因为Android用的老版本APP）,最后我就只能在Android APP上使用了，PC端要使用得付费升级了。...如何从LastPass导出数据 APP端不支持，只能通过插件版或网页版导出，还好虽然密码管理功能被限制在移动端设备操作，导出功能还能在PC端使用。

5091 0

如何从内存提取LastPass中的账号密码

简介首先必须要说，这并不是LastPass的exp或者漏洞，这仅仅是通过取证方法提取仍旧保留在内存中数据的方法。...--profile=Win7SP1x86 -f /home/localadmin/Desktop/lastpass-mem.vmem lastpass Volatility Foundation Volatility...Entry for hackforums.net UserName: peters.lastpass Pasword: jRvTpQoTHS4OTcl Found LastPass Entry for...facebook.com UserName: peters.lastpass@gmail.com Pasword: Unknown Found LastPass Entry for sainsburys.co.uk...UserName: peters.lastpass@gmail.com Pasword: mt5JwaPctWFzBj Found LastPass Entry for leakforums.net

8.6K8 0

LastPass用户遭遇情感型网络攻击

一旦用户在钓鱼页输入LastPass主密码，攻击者不仅获取凭证，还会尝试利用LastPass的“会话恢复”机制。...为何专盯LastPass？因为“一库在手，天下我有”LastPass作为全球数千万用户使用的密码管理器，本质上是一个“数字钥匙串”——用户只需记住一个主密码，即可自动填充所有网站的账号密码。...“攻破LastPass，等于一次性攻破几十甚至上百个账户。”芦笛指出，“尤其是那些将LastPass用于企业管理、加密货币钱包或开发者平台的用户，风险极高。”...无论邮件内容多么紧急或真实，涉及LastPass、银行、邮箱等关键账户时，请手动在浏览器中输入官网域名（如 lastpass.com）进行登录。这是最简单也最有效的防御方式。...员工若因私人LastPass账户被攻破，进而泄露企业凭证，后果不堪设想。

1861 0

LastPass钓鱼攻击中的品牌滥用与邮件诱导机制研究

LastPass作为全球主流商业密码管理服务之一，长期处于高级威胁行为体的瞄准镜中。...相关子域（如 noreply.lastpass-support[.]net），伪造From:头为security@lastpass.com，而实际发信域为低信誉域，因DMARC仅执行quarantine...Security" lastpass.com>Subject: URGENT: Verify Your Account尽管From域为lastpass.com，但实际由sendgrid.net...2.4 凭证滥用与会话劫持获取主密码后，攻击者优先尝试以下操作：登录LastPass Web Vault：若用户未启用多因素认证（MFA），可直接访问保管库；窃取会话Cookie：若钓鱼页嵌入LastPass...访问LastPass应通过：官方应用启动；浏览器书签；手动输入官网域名。（2）强制启用FIDO2硬件密钥LastPass支持将FIDO2安全密钥设为主认证因子。

1661 0

在线密码管理器LastPass被大规模撞库

在线密码管理器LastPass承认，攻击者对其用户进行了大规模的撞库攻击，试图访问他们的云托管密码库。...就目前的信息来看，撞库攻击事件发生在本周一（12月27），LastPass尚不清楚哪些用户在此次攻击事件中被盗用，但是已经有很多LastPass 用户表示，他们收到电子邮件警告，其主密码有泄露的风险，有攻击者...值得注意的是，没有任何迹象表明用户账户被攻击者访问，或者LastPass 服务被其他未授权的第三方破坏。...LastPass公司会定期监控此类活动，并将继续采取措施确保LastPass的用户及其数据的安全。...但是很多收到电子邮件警告的用户表示，他们的主密码仅用于访问LastPass服务，并未与其他网络服务共享。

9726 0

LastPass 收紧免费用户政策，电脑移动端必须二选一

LastPass 是一款支持云同步的跨平台密码管理软件，因其简单易用的界面和基础功能免费的政策，在近些年来一直广受好评。...不过 reizhi 在今天凌晨收到来自 LastPass 的邮件通知，今后免费用户将只能在电脑和移动端二者中选择一个继续使用。...具体来说，LastPass 将识别免费用户在2021年3月16日后首次登录所使用的平台，如果是电脑端（Windows 或 macOS），那么此后该账号将只能在电脑端登录。...但在选择的平台上，LastPass 仍然不限制登录设备数量。除此之外，每个免费账号拥有3次切换平台的机会。 LastPass 在通知中还强调了无论选择哪一平台，所保存的密码信息都不会丢失。...本次调整不涉及所有付费用户，具体的通知原文可以在此处查看： https://support.logmeininc.com/lastpass/help/what-can-i-expect-to-change-for-lastpass-free-on-march

5521 0

使用 LastPass 保护您的密码并在任何地方访问它们

LastPass 的高级计划通过管理无限数量的密码和跨所有设备的无缝访问，确保您的数字生活安全且触手可及。图片：LastPass 在数字时代，密码是一种必要的挫败感。...如果您正在寻找密码管理器来简化您的工作流程并让您的生活更轻松， LastPass 是一个不错的选择。...LastPass 的高级计划通过管理无限数量的密码和跨所有设备的无缝访问，让您的数字生活触手可及。...在 LastPass 中保存密码后，您将始终拥有该密码，因为 LastPass 会自动让您在所有设备上登录。当您需要新密码时，LastPass 可以创建长而随机的密码，保护您免受黑客攻击。...如果您需要共享帐户，LastPass 甚至可以轻松安全地与其他任何人共享密码和笔记。

6571 0

LastPass用户再陷钓鱼围猎：仿冒邮件借“讣告”之名窃取密码库

近期，全球知名密码管理平台 LastPass 的用户再次成为网络钓鱼攻击的重点目标。...多名受害者反馈，他们在收到钓鱼邮件后不久，便接到自称“LastPass 安全团队”的电话。...由于 LastPass 本身不通过电话索要用户凭证，此类行为纯属诈骗，但普通用户难以分辨。...定期审查可信设备与登录历史：LastPass 提供“活动会话”管理功能，用户应每月检查是否有陌生设备登录。...许多公司允许员工使用个人 LastPass 账户存储工作凭证，一旦被攻破，可能导致内网沦陷。

1351 0

基于情感诱导的LastPass钓鱼攻击机制与防御策略研究

正因如此，LastPass长期成为高级持续性威胁（APT）与网络犯罪团伙的重点目标。...邮件发件人地址常采用近似域名，如 support@lastpass-security[.]com 或 noreply@lastpass-verify[.]net，并通过SPF/DKIM伪造实现较高送达率...3 LastPass紧急访问机制的滥用分析LastPass的“紧急访问”功能允许用户指定最多5名“紧急联系人”。当联系人发起访问请求后，系统会向账户持有人发送邮件通知，并启动7–30天的等待期。...实际上，LastPass官方从未提供通过外部链接取消紧急访问的功能——所有操作必须在用户已登录的LastPass客户端内完成。这一认知偏差成为攻击成功的关键。...访问LastPass应通过以下方式：直接输入 https://lastpass.com；使用浏览器书签；通过官方桌面/移动应用启动。

2131 0

密码神器LastPass承认黑客窃取了客户数据

11月30日，密码管理工具LastPass首席执行官 Karim Toubba公开承认，通过一个新的漏洞，黑客访问了LastPass 的第三方云存储服务器，并获得了部分客户的关键信息。...在LastPass公开承认这一数据泄露事件后，该公司进一步强调“由于LastPass采取了先进的零信任架构体系，因此客户的密码仍然被安全加密。” 但是这个保证似乎并没有让客户满意。...毕竟在2022年8月，LastPass还曾公开承认，有黑客曾进入过LastPass 的内部系统，并窃取了部分源代码和敏感数据。仅仅三个月后，LastPass 就在一次出现如此严重的数据泄露事件。...2021年年底，许多LastPass用户在收到LastPass登录电子邮件警告，邮件告知他们的主密码已被泄露，有人试图从未知位置登录他们的帐户。...事后，LastPass回应异常登录称，暂无证据表明数据泄露，但用户并不买账，并对LastPass的安全性提出了质疑。

3182 0

密码管理巨头LastPass遭遇黑客，用户信息和密码全遭窃取。。。

今天，我收到了我司的一封官方email，告诉我们每个员工LastPass出事了，要我们每个员工最好行动起来。 LastPass是我们公司御用的密码管理软件。...根据我检索网上相关的信息发现，LastPass的这次黑客攻击，让用户的基本信息，比如说名字，邮箱，电话号码， ip地址，常访问网站等等都被窃取。...如果用户本身用了123456这种密码来让LastPass保存自己其他密码的话，那这个事情就麻烦大了。因此，我司还是第一时间建议所有用LastPass保存了密码的账号，赶紧第一时间更新密码吧。...还好，虽然我司天天推荐我用LastPass，我这个人比较怕事，一直都没有舍得把自己各个账号密码交给LastPass这样一个公司，所以我一直都是硬输入密码，而不是用LastPass。...最后，我想对LastPass本身来说，这个被窃密的事件，估计会对它的生意和合作伙伴都产生一些长远的和短期的影响吧，肯定不是什么好事情。

5642 0

FreeBuf周报 | Facebook因数据泄露被罚2.65亿欧元；LastPass承认客户数据被窃

5、密码神器LastPass承认黑客窃取了客户数据 11月30日，密码管理工具 LastPass首席执行官 Karim Toubba公开承认，通过一个新的漏洞，黑客访问了 LastPass 的第三方云存储服务器

7101 0

LastPass密码管理器再曝严重漏洞，基于浏览器的密码管理器还能用吗？

LastPass，最受欢迎的密码管理软件之一，近日再次爆出安全漏洞。...所有平台都受影响 Chrome的LastPass插件漏洞可被利用攻击用户浏览器和LastPass云服务器之间的JS脚本。...Firefox也未能幸免如上所述，Firefox的LastPass扩展也存在漏洞，仅影响3.3.2版本——这个版本的确也是LastPass最广泛应用的版本。...实际上，这已经不是Ormandy首次在LastPass中发现高危漏洞了： 2016年7月，同样是 LastPass浏览器扩展组件爆出漏洞，黑客可以通过诱导用户点击一个连接，然后窃取用户的所有密码； 2015...年6月，LastPass 的服务器被黑客攻击，并导致用户所有加密数据被泄露，虽然泄露的不是明文数据，但这些数据依旧有被破解的可能； 2014年，安全人员发现 LastPass 的四个密码管理漏洞； LastPass

2.1K7 0

修改lastpass主密码后需重启firefox才能加载已保存的站点密码或用导入工具

由于开发的需要一般是用firefox作为默认的浏览器，很早以前就装了lastpass密码管理器作为必备附加组件，在注册时按一下Alt+G就会帮你生成复杂度挺高的密码，然后保存密码就可以了。...设置 - 更改主密码，点击更新lastpass主密码，网络需要稳定一些，密码库会重新加密生成。...然后关闭firefox浏览器，再次登录lastpass管理器，这时可能还没显示已经保存的站点及密码，同步需要一定的时间。如果不行，可以考虑用导入工具。 ? 　　...点击lastpass图标，工具 - 导入 - lastpass - 导入，选择之前导出的站点密码文件。lastpass比较人性化，可以支持1password等其他密码管理器的文件。

1.4K4 0

Lastpass事件调查：黑客在云存储漏洞中窃取了保险库数据

这是一年内LastPass发生的两次因云存储漏洞而发生的安全事件。该公司透露，8月事件的攻击者在被驱逐之前，对其内部系统访问了四天。...攻击者利用从Lastpass开发者环境中窃取的“云存储访问密钥和双存储容器解密密钥”，获得了对Lastpass云存储的访问。图巴称，LastPass使用云存储服务来存储生产数据的存档备份。...但是，LastPass坚称用户的加密数据和主密码仍是安全的。图巴称，LastPass从不知道主密码，它不存储在Lastpass的系统上，LastPass也不维护主密码。...图巴表示，“客户的敏感保险库数据，如用户名和密码、安全笔记、附件和表格填写字段，仍然是基于LastPass的零信任架构进行安全加密。"...公开信息显示，LastPass是一个在线密码管理器和页面过滤器，采用了强大的加密算法，自动登录/云同步/跨平台/支持多款浏览器。

9892 0

研究发现密码管理工具的严重安全缺陷

研究人员检查了LastPass和其它四个基于Web的密码管理器，发现它们都存在致命缺陷，允许攻击者远程从用户密码库提取出明文密码。LastPass和三家密码管理器已经修正了漏洞。...他们在LastPass发现了一个最严重漏洞，密码管理器的书签功能用于自动在网站上填写密码，书签功能的一个bug允许一个网站上嵌入的恶意代码可以窃取其它网站的凭证。...攻击者能利用该漏洞入侵使用LastPass登录的用户，只要用户点击书签，攻击者可悄悄窃取属于其它网站的明文密码。

95610 0

点击加载更多

LastPass泄露明文密码

破解加密的LastPass数据库

LastPass：黑客获得云存储访问密钥，用户信息泄露

解析针对知名密码存储软件LastPass的钓鱼攻击

从LastPass转向拥抱开源KeePass的心路历程

如何从内存提取LastPass中的账号密码

LastPass用户遭遇情感型网络攻击

LastPass钓鱼攻击中的品牌滥用与邮件诱导机制研究

在线密码管理器LastPass被大规模撞库

LastPass 收紧免费用户政策，电脑移动端必须二选一

使用 LastPass 保护您的密码并在任何地方访问它们

LastPass用户再陷钓鱼围猎：仿冒邮件借“讣告”之名窃取密码库

基于情感诱导的LastPass钓鱼攻击机制与防御策略研究

密码神器LastPass承认黑客窃取了客户数据

密码管理巨头LastPass遭遇黑客，用户信息和密码全遭窃取。。。

FreeBuf周报 | Facebook因数据泄露被罚2.65亿欧元；LastPass承认客户数据被窃

LastPass密码管理器再曝严重漏洞，基于浏览器的密码管理器还能用吗？

修改lastpass主密码后需重启firefox才能加载已保存的站点密码或用导入工具

Lastpass事件调查：黑客在云存储漏洞中窃取了保险库数据

研究发现密码管理工具的严重安全缺陷

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐