行業新聞與博客

在遭遇一系列重大密碼泄露事件兩年後，LastPass 已開始對其客户實施更為嚴格的密碼措施。

其中包括要求所有客户使用至少 12 個字符的主密碼。
自 2018 年以來，這項措施一直是 LastPass 的默認選項。2023 年 4 月，新客户和重置主密碼的現有客户必須執行該措施。

但是，其他現有客户，即 2023 年 4 月之前加入且未更改主密碼的客户，可以保留較短的主密碼直到現在。

LastPass 高級首席情報分析師 Mike Kosak 在宣佈這一變化的博客文章中解釋道：“説到密碼的安全性和彈性，數量越多越好。但這只是開始。密碼強度是一個複雜的概念，它由長度、複雜性和不可預測性等多種因素決定。”

儘管現行的美國國家標準與技術研究所 (NIST) 指南 (NIST 800-3B) 要求人工生成的密碼長度至少為 8 個字符，但密碼破解和暴力破解技術的最新進展意味着建議使用更長的密碼，他繼續説道。

關於設置良好主密碼的其他建議

LastPass 為需要更改主密碼的客户提供了一份額外建議清單。其中包括：

• 建議使用長度超過 12 個字符的主密碼
• 使用下列各項中的至少一種：大寫字母、小寫字母、數字和特殊字符值
• 使新的主密碼容易記住，但不容易猜到（例如密碼短語）
• 確保它僅對個人是唯一的，並且不會在其他任何地方重複使用
• 不使用電郵地址作為主密碼
• 主密碼中不包含個人信息
• 沒有連續字符（例如“1234”）或重複字符（例如“aaaa”）

我們將從 1 月底開始分階段推行這項新措施，逐步推動客户實施新措施。

科薩克寫道，這項新政策“只是一系列進步舉措的一部分，旨在幫助我們的客户更好地保護自己免受現有和新出現的網絡威脅”，並暗示新的密碼安全措施可能很快就會推出。

宣佈重新註冊 MFA

LastPass 還將開始將其客户的新主密碼與已知泄露憑證的數據庫進行交叉檢查，以確保密碼之前沒有在暗網上泄露過。

該公司還將開始提示客户使用 Microsoft Authenticator 和 Google Authenticator 等常見身份驗證器重新註冊其多因素身份驗證 (MFA)。

閲讀更多：MFA 足以保護您免受網絡攻擊嗎？

這些新措施是在 LastPass 於 2022 年遭受多次入侵之後採取的，當時未經授權的一方獲取了該公司的部分數據。