Video: LastPass FULL TUTORIAL Password Manager (Tháng mười một 2024)
SecurityWatch đã xác nhận với LastPass rằng có một lỗ hổng tồn tại trong phần mềm của nó, khiến một số mật khẩu có thể truy cập được. Một bản vá đã được phát hành và có sẵn để tải về.
Tính dễ bị tổn thương
Chúng tôi đã học về lỗ hổng từ độc giả David Hughes. Chúng tôi lần lượt thông báo cho LastPass, người đã xác nhận rằng sự cố được tạo ra bởi một bản cập nhật gần đây cho hệ thống của họ. Bản sửa lỗi của họ sẽ được phát hành ngay hôm nay và chúng tôi khuyến khích mọi người cập nhật phần mềm của họ hoặc tải xuống phiên bản mới từ LastPass. Vấn đề này sẽ chỉ ảnh hưởng đến người dùng IE với LastPass phiên bản 2.0.20.
Độc giả của chúng tôi đã thông báo cho chúng tôi rằng khi anh ta thực hiện kết xuất bộ nhớ trên Windows IE, anh ta có thể truy xuất mật khẩu LastPass được lưu trữ trong bản rõ. Có vẻ như khi trình quản lý mật khẩu tự động điền các trường trong IE, mật khẩu không được mã hóa vẫn có thể truy cập được trong bộ nhớ. Mật khẩu từ các phiên trước dường như không bị ảnh hưởng, vì việc thoát IE sẽ dọn sạch bộ nhớ. Ngoài ra, mật khẩu chưa được sử dụng cho các trường tự động điền vẫn được mã hóa và không thể được truy xuất bằng lỗ hổng này.
Vấn đề dường như chỉ ảnh hưởng đến người dùng IE, vì vậy mọi người khác đều an toàn trừ khi bạn đang sử dụng trình duyệt của mình để lưu trữ mật khẩu cho bạn mà bạn nên ngừng làm.
Trong khi vấn đề nghe có vẻ đáng sợ, phạm vi của lỗ hổng bị hạn chế. LastPass nói với đồng hồ bảo mật, "vấn đề đặc biệt này sẽ cực kỳ khó khai thác - yêu cầu bạn phải sử dụng IE, rằng bạn đã đăng nhập vào LastPass để giải mã dữ liệu của bạn, thực hiện kết xuất bộ nhớ, tìm kiếm kết xuất bộ nhớ và thực sự xác định vị trí mật khẩu - chúng tôi đã ưu tiên sửa lỗi này vì chúng tôi coi trọng sự riêng tư và bảo mật dữ liệu của người dùng hơn tất cả. "
Hơn nữa, việc bỏ bộ nhớ sẽ dễ dàng hơn rất nhiều nếu bạn có quyền truy cập trực tiếp vào máy tính mục tiêu. Một thứ mà kẻ tấn công khó có thể có. Nếu kẻ tấn công có thể truy cập từ xa vào máy của bạn và thực hiện kết xuất, thì có lẽ bạn còn nhiều điều phải lo lắng.
Giữ an toàn
Nếu bạn đang sử dụng phiên bản LastPass này trong IE, bản cập nhật từ LastPass chắc chắn sẽ xử lý vấn đề này, vì vậy cách tốt nhất để giữ an toàn là tải xuống ngay lập tức.
Quan trọng nhất, không ngừng sử dụng một trình quản lý mật khẩu. Nếu bạn cảm thấy cảnh giác với LastPass, hãy xem xét DashLane 2.0 của các biên tập viên khác của chúng tôi. Lưu trữ và tạo mật khẩu độc đáo là một dịch vụ rất có giá trị và hoàn toàn sẽ giúp bạn an toàn hơn khi trực tuyến.
Chúng tôi sẽ tiếp tục giới thiệu LastPass với tư cách là người quản lý mật khẩu và tôi đã rất ấn tượng với tốc độ mà vấn đề đã được giải quyết trong vài ngày qua. Nếu có bất kỳ mẹo vặt nào khác được quan tâm, bạn có thể báo cáo vấn đề trực tiếp với LastPass từ trang web của họ, chỉ cần gửi cho chúng tôi một dòng.