安全專家指責(zé) LastPass 公告：存在 14 點(diǎn)疑問(wèn)，避重就輕混淆用戶視聽(tīng)

IT之家 12 月 28 日消息，密碼管理工具 LastPass 在圣誕節(jié)前發(fā)布公告，承認(rèn)發(fā)生于今年 11 月的安全事件中黑客竊取了包括名稱、URL、密碼（加密）在內(nèi)的用戶數(shù)據(jù)。一位安全研究專家在看到這則公告中忍不住發(fā)文，稱該公告存在 14 個(gè)疑點(diǎn)，且避重就輕隱瞞了某些細(xì)節(jié)，并以真假參半的方式混淆用戶視聽(tīng)。

安全專家 Wladimir Palant 在他的安全博客 Almost Secure 上發(fā)帖，認(rèn)為該公告存在 14 個(gè)疑點(diǎn)，并逐條進(jìn)行了駁斥。

IT之家了解到，Palant 認(rèn)為 LastPass 淡化了風(fēng)險(xiǎn)，并存在“嚴(yán)重疏忽”行為。這涵蓋了從該公司聲稱的透明度到其自身的安全做法等所有內(nèi)容。

其中一個(gè)有爭(zhēng)議的說(shuō)法是 LastPass 告訴客戶“如果你使用上面的默認(rèn)設(shè)置，使用普遍可用的密碼破解技術(shù)，需要數(shù)百萬(wàn)年才能猜出你的主密碼”。而 Palant 表示對(duì)于普通用戶密碼來(lái)說(shuō)，整個(gè)破解時(shí)間可能只需要 2 個(gè)月就可以完成，而不是“數(shù)百萬(wàn)年”。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。