密碼管理服務供應商 LastPass 上月承認公司遭受黑客入侵,不過,事故調查報告要到九月中才發表。官方聲稱黑客並未接觸到客戶資料及加密密碼引擎的詳情,換言之客戶可以放下心頭大石。LastPass 如果對這次事故的調查屬實,就可說是其中一個網絡安全案例正確示範,企業管理者不妨參考一下。 為了保障帳戶的安全性,不少用家都會聽專家之言,起碼會為帳戶採用強密碼,即密碼結合大細楷英文字串、符號、數字,以及密碼至少有 8 個位長度。不過,有調查指現時一般人至少擁有過百過網上服務帳戶,如果密碼要夠長及複雜,而且又要為每個帳戶設立不同密碼組合,相信很少人有能力做到,於是網絡安全專家會建議網民使用密碼管理服務,例如 LastPass、1Password 便是較出名的服務供應商。 雖然這個方法可解決用家無法記住太多密碼的煩惱,但如果密碼管理服務供應商遭受入侵,用家儲存的帳戶資料便有機會一次過被盜取,所以當 LastPass 上月爆出遭入侵事故時,不少用家都相當憂慮,因為隨時會為所有帳戶重設密碼。還好 LastPass 管理層終於發表調查報告,指出這次黑客雖然成功入侵公司的開發環境,假扮成公司其中一個開發人員並為帳戶通過多重因素驗證,不過,公司卻未有太大損失,原因主要有兩點。 首先,官方指 LastPass 有嚴格控制產品推出流程,即使黑客在這次事件中能假扮 Development Team 員工,但由於產品必須經過…
Search Results: LastPass (6)
密碼管理服務供應商 LastPass 最近向大批用家發現電郵警告,指他們的帳戶出現不尋常的登入記錄,更聲稱已為用家阻截登入,呼籲用家盡快修改密碼及啟用雙重因素驗證 (two-factors authentication) 功能。不過,LastPass 堅稱並未發生數據外洩事件,但就有受影響用家聲稱登入密碼未有共用於其他帳戶,真相到底是? 為了保障各種帳戶的安全,不少人都會為每個帳戶設定獨一無二的強密碼 (strong password),即在字元長度、字符組合複雜程度上均達到一定標準的密碼。不過,並非所有人都有超人記憶力,因此要管理所有帳戶的密碼,便必須借助密碼管理器 (password manager) 記錄,而用家日後要取得這些帳戶登入資料,便只須記著一個密碼管理器的登入密碼,上述的強密碼應用才變得可行。 LastPass 便是其中一款最多人使用的密碼管理器,但就在近日內,有 LastPass 用家收到官方發現的電郵警告,稱其帳戶出現可疑登入,雖然對方使用了正確的帳戶登入資料,但由於登入的位置與用家平常有很大出入,系統站於安全立場,已先為用家進行攔截,並建議如登入並非由用家自己執行,便應立即更換密碼及提升安全檢查功能。LastPass 方面堅稱內部未有發生任何數據外洩,相信黑客是從其他數據外洩事件中取得用家的帳戶登入資料。 不過,有 LastPass…
係囉,錯就要認,知錯就改,咁就抵讚!密碼管理工具 LastPass 被發現有漏洞,用戶有可能俾黑客盜取最近一次嘅登入憑證。LastPass 收到通知,立即回應,火速修復,抵讚! 密碼管理工具絕對係現代人嘅必備,全靠佢,先可以應付日常海量密碼登入帳號之苦。事關網絡安全專家建議大家唔好重用密碼,以免其中一個帳戶嘅登入資料被盜取,就會波及其他帳戶。不過一個正常人又點記得咁多複雜密碼?為免大家被密碼折磨,網上就出現咗好多密碼管理工具,而 LastPass 就係最受歡迎嘅工具之一。較早前,Google 嘅網絡安全工程師 Tavis Ormandy 發現 LastPass 有一個漏洞,黑客可以利用一個有效嘅 clickjacking 手法,引導用戶利用 LastPass 登入個人帳戶,然後轉移到惡意網站,截取資料。 雖然此漏洞只出現於 Google Chrome 及…
密碼管理服務供應商 LastPass 披露早前數據外洩事故的調查報告,指出事原因與公司一名工程師的電腦被入侵有關。事實上自疫情以來,不少企業已容許員工遙距工作,不過在端點(endpoint)裝置的保護上卻存在漏洞,安全專家指出,企業必須正視端點防護問題,否則被入侵的事故將會沒完沒了。 想知最新科技新聞?立即免費訂閱 ! 不少安全專家均提出,現時大多數網絡攻擊,都是由竊取帳戶登入資料開始,即使是企業最害怕碰到的勒索軟件集團,黑客亦會在地下討論區刊登招聘廣告,邀請擁有帳戶登入憑證的人合作,這種操作一來可以減少入侵難度,二來由於擁有一定帳戶權限,可大大減少被安全工具發現的風險。 早前 Ponemon Institute 的一項調查便顯示,68% 機構在過去 12 個月內,遭受了成功的端點攻擊,而今次 LastPass 的數據外洩事故,便是其中一例,因為入侵的開端,正正是其中一名 DevOps 工程師的個人電腦因感染 keylogger 惡意軟件,讓黑客取得公司帳戶的登入憑證,從而繼續橫向滲透。最終讓黑客提升帳戶權限並取得客戶的機密數據,突顯出端點設備防護的重要性。 不過,端點設備防護的難度在於分散性。專家說,以往員工主要在公司內部網絡工作,IT…
網絡安全公司 Fortinet 近日發出警告,一款專門盜取帳戶登入資料的惡意軟件 RedLine Stealer 的變播,正借助新冠病毒變種 Omicron 的驚人傳播力,提升自己感染電腦設備的機率。現時黑客的目標主要是電腦內的 VPN 服務帳號,不過既然已成功入侵,相信其他帳戶登入資料一樣危危乎。 新冠病毒變種 Omicron 再次令全球各地的感染率飊升,病毒傳播力驚人,有專家更指新病毒可以一傳三十!香港市民現時最想知道自己有否與感染者在同一時空出現,評估一下自己被感染的風險。正所謂人同此心,其他國家網民亦希望能儘快掌握疫情發展狀況,只要收到與 Omicron 有關的資訊,網絡安全意識都不會不自覺調低,而背後操縱 RedLine Stealer 的犯罪集團,便快速利用 Omicron 為主題廣發釣魚電郵,Fortinet…
要保障自己嘅網上帳戶安全,好多時網絡安全專家都會叫大家改個複雜嘅密碼,而且仲要逐個帳戶改,唔可以重複,但大家都知道要做到幾乎係無可能,真係設定咗,都要成日㩒「忘記密碼」,實用性極低。於是專家就會建議大家啟用雙重因素驗證(2FA)提升登入安全性,或安裝密碼管理器去管理所有帳戶嘅密碼,咁樣的確係安全好多嘅,但問題係首先要服務供應商安全先得。可惜嘅係,最近有研究員發現,無論係 2FA app 供應商 Google 或 Microsoft,抑或係密碼管理app 例如 喺雙重因素驗證 app 方面,網絡安全供應商 ThreatFabric 發現,只要黑客成功誘騙 Android 手機用家安裝惡意軟件 Cerberus,就有機會盜取用家經 Google Authenticator 或 Microsoft…