【正確示範】LastPass成功封控入侵範圍 全靠虛擬、實體雙重分隔
密碼管理服務供應商 LastPass 上月承認公司遭受黑客入侵,不過,事故調查報告要到九月中才發表。官方聲稱黑客並未接觸到客戶資料及加密密碼引擎的詳情,換言之客戶可以放下心頭大石。LastPass 如果對這次事故的調查屬實,就可說是其中一個網絡安全案例正確示範,企業管理者不妨參考一下。
為了保障帳戶的安全性,不少用家都會聽專家之言,起碼會為帳戶採用強密碼,即密碼結合大細楷英文字串、符號、數字,以及密碼至少有 8 個位長度。不過,有調查指現時一般人至少擁有過百過網上服務帳戶,如果密碼要夠長及複雜,而且又要為每個帳戶設立不同密碼組合,相信很少人有能力做到,於是網絡安全專家會建議網民使用密碼管理服務,例如 LastPass、1Password 便是較出名的服務供應商。
雖然這個方法可解決用家無法記住太多密碼的煩惱,但如果密碼管理服務供應商遭受入侵,用家儲存的帳戶資料便有機會一次過被盜取,所以當 LastPass 上月爆出遭入侵事故時,不少用家都相當憂慮,因為隨時會為所有帳戶重設密碼。還好 LastPass 管理層終於發表調查報告,指出這次黑客雖然成功入侵公司的開發環境,假扮成公司其中一個開發人員並為帳戶通過多重因素驗證,不過,公司卻未有太大損失,原因主要有兩點。
首先,官方指 LastPass 有嚴格控制產品推出流程,即使黑客在這次事件中能假扮 Development Team 員工,但由於產品必須經過 Build Team 審批,而不能夠由開發團隊直接推出市面,因此黑客未能在 LastPass 應用程式中加插惡意編碼。另外,Development Team 及 Build Team 不單在網絡權限上有差別,就連在現實世界中也被安排在不同地方工作,因此兩個團隊的員工不能去到對方的辦公室,減少執行惡意行為的可能性。不過,在這次事故中 LastPass 的員工帳戶始終成為入侵的跳板,因此官方回應指將會加強保護端點裝置,盡力堵塞潛在漏洞。
相關文章:【全自動化】特強Android惡意軟件 MaliBot不經人手通過MFA驗證