行业新闻与博客

在遭遇一系列重大密码泄露事件两年后，LastPass 已开始对其客户实施更为严格的密码措施。

其中包括要求所有客户使用至少 12 个字符的主密码。
自 2018 年以来，这项措施一直是 LastPass 的默认选项。2023 年 4 月，新客户和重置主密码的现有客户必须执行该措施。

但是，其他现有客户，即 2023 年 4 月之前加入且未更改主密码的客户，可以保留较短的主密码直到现在。

LastPass 高级首席情报分析师 Mike Kosak 在宣布这一变化的博客文章中解释道：“说到密码的安全性和弹性，数量越多越好。但这只是开始。密码强度是一个复杂的概念，它由长度、复杂性和不可预测性等多种因素决定。”

尽管现行的美国国家标准与技术研究所 (NIST) 指南 (NIST 800-3B) 要求人工生成的密码长度至少为 8 个字符，但密码破解和暴力破解技术的最新进展意味着建议使用更长的密码，他继续说道。

关于设置良好主密码的其他建议

LastPass 为需要更改主密码的客户提供了一份额外建议清单。其中包括：

• 建议使用长度超过 12 个字符的主密码
• 使用下列各项中的至少一种：大写字母、小写字母、数字和特殊字符值
• 使新的主密码容易记住，但不容易猜到（例如密码短语）
• 确保它仅对个人是唯一的，并且不会在其他任何地方重复使用
• 不使用电子邮件地址作为主密码
• 主密码中不包含个人信息
• 没有连续字符（例如“1234”）或重复字符（例如“aaaa”）

我们将从 1 月底开始分阶段推行这项新措施，逐步推动客户实施新措施。

科萨克写道，这项新政策“只是一系列进步举措的一部分，旨在帮助我们的客户更好地保护自己免受现有和新出现的网络威胁”，并暗示新的密码安全措施可能很快就会推出。

宣布重新注册 MFA

LastPass 还将开始将其客户的新主密码与已知泄露凭证的数据库进行交叉检查，以确保密码之前没有在暗网上泄露过。

该公司还将开始提示客户使用 Microsoft Authenticator 和 Google Authenticator 等常见身份验证器重新注册其多因素身份验证 (MFA)。

阅读更多：MFA 足以保护您免受网络攻击吗？

这些新措施是在 LastPass 于 2022 年遭受多次入侵之后采取的，当时未经授权的一方获取了该公司的部分数据。