在进行了NSA监视,Heartbleed威胁以及针对金融机构的黑客攻击之后,您是否感觉数字世界正在倒塌? LastPass的首席执行官Joe Siegrist在这里评估所有这些威胁对您的密码安全真正意味着什么。
在PCPC.me,我们经常提醒读者最新的安全威胁。
p>
那么您怎么做才能保持安全?常见的建议(例如Christian作为Heartbleed解决方案的一部分提供的建议)是更改密码。但这是否足够,像LastPass这样的密码服务能否提供额外的安全性?
乔·西格里斯特(Joe Siegrist)采访
当任何人第一次听到LastPass服务时,似乎有点违反直觉。在您的计算机上,如何将密码存储在浏览器附加组件内会更安全?
现实是密码安全性很复杂,因为您登录时密码会经历许多传输级别,这是否会带来更大的风险,因为您的计算机可能会遭到黑客入侵并且密码被盗?任何在线服务。在这次采访中,我们与LastPass首席执行官Joe Siegrist坐下来讨论了这类问题,以及LastPass和类似的密码管理应用程序如何应对这些安全风险。
MUO:首先-您能描述一下创建LastPass的灵感来源吗?一切如何开始?
Joe: I used to work in Internet telephony as the CTO of Estara, and we did a lot of security there. We had to figure out how to do key exchange and how to do it securely. I left with four of my best friends, and we wanted to work together again, but couldn’t do anything in VoIP telephony. We had used complicated techniques like tiered passwords and utilized an encrypted file to store them, but as we asked around to find out what everyone else did and learned that they used the same exact same password for everything, we knew we could help them.
…但是当我们四处询问以找出其他所有人所做的事情并得知他们对所有内容使用完全相同的密码时,我们知道我们可以为他们提供帮助。
MUO::当人们考虑将密码存储在浏览器附件中时,实际上感觉不太安全,因为浏览器或计算机可能会遭到黑客入侵。这是一个误解吗?为什么LastPass比那里的其他选项安全?
Joe::如果您使用的是浏览器的密码管理器,那么很有可能所有恶意软件都会窃取您的密码。 — LastPass会这样做,其他任何软件也会这样做。使用LastPass,您的风险受到更大的限制,因为登录LastPass时风险较小,而退出时则几乎没有风险。
Heartbleed And LastPass
MUO:严重影响了Internet上数百万用户的加密登录传输。我是否正确理解这甚至影响了LastPass用户? LastPass为应对Heartbleed造成的威胁做了什么?
Joe::我们受到了影响-我们的Web服务器也使用了OpenSSL,但是由于LastPass具有第二层保护,我们处于比99%受影响的公司更好的位置。这是因为敏感数据永远不会直接撞击我们的服务器,首先会始终进行加密,然后SSL是第二层保护。剥离保护层是不好的,但没有像对99%的受影响站点剥离仅保护层那样糟糕。
剥离保护层是不好的,但没有那么差是为99%的受影响站点剥离了唯一的保护层。
我们首先意识到人们需要知道哪些站点受到了影响,并且公司是否采取了正确的步骤来保护自己,所以我们整体测试页。人们可以找出更改密码是否安全以及该站点是否已更新其SSL证书。即使您不是LastPass用户,也可以使用此免费工具。
对于LastPass用户,我们进行了安全检查,可以查找所有易受攻击的网站。它会告诉您确切的密码,密码的年龄,是否应该更改密码以及何时安全。
黑客入侵EBay和Spotify
Joe :LastPass用户受到的影响比其他人少得多。如果他们为每个站点使用不同的密码(例如我们的提示和安全检查推送),那么他们承担的风险就会很大。身份盗用的风险仍然存在,但是您不会遇到该密码被破解(然后将被破解)然后在其他站点上使用的问题。
MUO::5月底,Spotify宣布对其系统进行未经授权的访问,该系统访问了一个用户的数据,但其中不包含密码或财务信息。 LastPass用户是否应该对其Spotify密码采取任何特殊措施?
Joe::在冒烟的地方,通常会起火,因此请谨慎操作,只需更改密码-不会造成伤害。将其更改为超过30秒即可。
我建议LastPass用户在您的LastPass上使用多因素身份验证,并在所有站点上使用随机密码。
MUO:。您认为LastPass提供了针对此类威胁的独特保护吗?
Joe:。我建议LastPass用户使用多因素保护在LastPass上进行身份验证,并在所有站点上使用随机密码。采取这些步骤后,您就不会被欺骗,因为您不会意外地泄露您不知道的密码!
保护密码的其他步骤
过去, PCPC.me涵盖了可用的LastPass的免费版本(包括LastPass)。
正如Joe解释的那样,当您购买的密码管理器可以真正保护您免受严重威胁(如Heartbleed和黑客攻击)时,您想要查找的内容包括密码管理软件登录时的多层安全性(例如SSL加密)和保护(例如多因素身份验证)。
最重要的是,理想的解决方案是为密码保留完全不同的密码您使用的每个站点或服务。当然,那是密码管理服务(如LastPass)所提供的主要好处。您不必记住每个密码即可保持安全。
您是否使用LastPass或其他密码管理服务?面对所有这些安全威胁,这会使您感到更加安全吗?在下面的评论部分中分享您的想法!
图片来源:通过Shutterstock的银行保险柜门
