标签 LastPass 下的文章

LastPass 被入侵源于其工程师家用电脑被黑

去年,著名的密码管理服务 LastPass 被入侵(#740),并被窃取了部分源代码和客户的保险库的 备份(859)。经过调查,该公司公布了更多关于其系统如何被攻击的细节,“威胁者利用从一名高级 DevOps 工程师那里偷来的有效凭证来访问一个共享的云存储环境……这是通过瞄准该工程师的家用电脑并利用一个脆弱的第三方媒体软件包来完成的。威胁者能够在员工用 MFA 认证后,捕捉到员工输入的主密码,并获得该工程师的 LastPass 公司保险库的访问权。”

消息来源:Dev Class
老王点评:远程工作越来越流行,其带来的安全风险敞口不可忽视。

Gmail 客户端加密现在公开可用

谷歌现在对谷歌工作空间企业版、教育版和教育标准版客户开放了 Gmail 客户端加密(CSE)。一旦启用,Gmail CSE确保作为电子邮件正文和附件(包括内联图像)的一部分发送的任何敏感数据在到达谷歌的服务器之前将是不可读和加密的。同样重要的是要注意,电子邮件的标题(包括主题、时间戳和收件人名单)将不会被加密。

消息来源:Bleeping Computer
老王点评:其实类似的技术,如 PGP,早就有了,但是一直难以推广开来。

OpenAI 现在与其承诺背道而驰

OpenAI 成立于 2015 年,原本是一家非营利性研究机构。在其成立声明中,该公司宣布其研究承诺 “以最有可能造福全人类的方式推进数字智能,不受产生经济回报的限制”。OpenAI 鼓励所有研究人员分享 “论文、博文或代码,我们的专利(如果有的话)将与世界共享”。但八年后的今天,我们面对的是一家既不透明也不以积极的人类影响为动力的公司。OpenAI 摆脱了其非盈利地位,建立了一个 “封顶利润” 部门,该公司现在可以接受投资,并将为投资者提供封顶为 100 倍的投资利润。OpenAI 也没有开源和公开它的技术,并且它开发的技术反而使更多人失业了。

消息来源:VICE
老王点评:终究成了自己当初最讨厌的模样——问题是,在商业上还挺成功。

LastPass 存储的客户保险库备份失窃

LastPass 今天透露,攻击者利用 2022 年 8 月事件中窃取的信息侵入其云存储后,窃取了客户的保险库数据备份。这些数据以专有的二进制格式存储,既包含未加密的数据,如网站 URL,也包含完全加密的敏感字段,如网站用户名和密码、安全笔记和表单填写的数据。加密的数据是用 256 位 AES 加密的,只有用每个用户的主密码得出的唯一加密密钥才能解密。攻击者可能试图用暴力破解他们的主密码,但如果你的主密码遵循 LastPass 推荐的密码最佳实践,这将是非常困难和耗时的。

消息来源:Bleeping Computer
老王点评:这简直是灾难!所以,这种密码数据库还是不要放在线上的好。

研究发现应该征收适度的机器人税

由于机器人可以取代工作,对它们征收严格的税,将激励企业帮助留住工人,同时也补偿了使用机器人时工资税的减少。研究表明,在这种情况下的最佳政策确实包括对机器人征税,但只是一个适度的税。此研究还有一个反直觉的结论,在经济中加入更多的机器人后,每个额外的机器人对工资的影响实际上可能会下降。

消息来源:MIT
老王点评:连机器人都要被征税了……

连 FBI 都说你应该使用广告屏蔽器

FBI 表示网络犯罪分子正在购买广告来冒充合法品牌。恶意广告被用来欺骗受害者安装伪装成真正的应用程序的恶意软件,这些恶意软件可以窃取密码并部署文件加密赎金软件。FBI 对消费者的建议之一是安装一个广告屏蔽器。

消息来源:Tech Crunch
老王点评:有没有没装广告屏蔽器的?

Facebook 在数百万台服务器上使用 Kpatch 内核实时补丁

内核实时补丁允许内核在运行时安全地实施就地修补,而无需为了升级内核而进行冗长的开机自检(POST)和启动过程。Facebook 采用的是红帽的 Kpatch 方案,已经在其数百万台服务器上进行了部署。除了 Kpatch 方案之外,其它的内核实时补丁方案还有 SUSE 维护的 kGraft 和 Oracle 的 Ksplice 方案。Facebook 还分享了他们在应用过程中遇到的各种问题。

消息来源:Phoronix
老王点评:这是我听到的内核实时补丁最大规模的部署了,看起来已经可以在大规模生产环境使用了。Facebook 的经验可以学习一下。

黑客使用木马版 PuTTY SSH 客户端植入后门

安全公司报告,黑客组织在一次针对媒体公司的钓鱼攻击中使用了木马版 PuTTY SSH 客户端。PuTTY 是流行的开源 SSH 客户端。攻击者首先向目标发送邮件提供亚马逊的工作机会,后续通信中发送了包含了 IP 地址和登陆凭证以及木马版的 PuTTY 的文件。攻击者诱骗受害者打开文件运行木马版本以进行技能评估。但该版本含有恶意载荷,会部署和安装后门程序。

消息来源:Mandiant
老王点评:PuTTY 是一个小巧而流行的 SSH 客户端,但是一定要使用一个干净的。很多人在临时使用 SSH 时,都会去网上随便搜索一个 PuTTY 下载使用,这种往往是有木马的。

LastPass 表示在驱逐前已被入侵内部系统 4 天

今年 8 月,LastPass 被入侵,入侵者使用多因素身份验证成功通过了身份验证,从而访问了内部开发环境。但 LastPass 表示,“系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。这很可能是因为只有构建发布团队才能将代码从开发环境推送到产品环境,而它们是“物理分离,没有直接连接”的。

消息来源:BleepingComputer
老王点评:虽然入口被突破,但是内部损失有限,这说明良好的内部 IT 环境还是相当重要的。

密码管理软件 LastPass 承认遭到黑客入侵

全球用户数超过 3300 万的密码管理软件公司 LastPass 表示,最近一名黑客在侵入其开发系统后窃取了部分源代码和一些专有信息。LastPass 将密码存储在“加密的保险箱”中,只有使用客户的主密码才能解密。LastPass 表示在这次网络攻击中主密码没有被泄露,用户不需要采取行动来保护他们的账户。

消息来源:Bleeping Computer
老王点评:理论上客户的主密码不会被泄露,因为 LastPass 也没有。但是其软件的源代码被泄露,或许一些潜在的缺陷就会被利用。总之,这个事情可能还需要进一步评估。

iPhone 的锁定模式会导致被识别

iPhone 的“锁定模式”禁用了一系列可用于入侵 iPhone 用户的功能。但是,如果用户打开锁定模式,他们将很容易被打上指纹和识别。据一位开发者说,他创建了一个概念验证网站,可以检测你是否启用了锁定模式。任何网站或在线广告都可以检测到一些常规功能是否缺失,比如加载自定义字体,这是锁定模式禁用的功能之一。

消息来源:VICE
老王点评:这是安全和隐私之间的一个权衡,选择了极致安全却丢失了隐私。也许,会有更好的权衡方案。

微软称 80% 勒索软件攻击都是由于服务器错误配置导致

微软最近发布的《Cyber Signals》报告指出,勒索软件即服务(RaaS)日益猖獗,但是常规的软件设置就能应对,可以阻止大部分勒索软件攻击。此外,报告中还发现客户错误配置云服务、依赖不可靠的安全软件,以及通过默认宏设置的流量勒索软件,这导致微软制造了某种勒索软件攻击,即人为操作的勒索软件。

消息来源:Onmsft
老王点评:问题是,依靠人总是有各种疏漏,所以如何用软件或机制来保障这 80% 的情况才是最重要的。

微软开源抓出 SolarWinds 黑客的工具代码

微软利用 GitHub 的 CodeQL 发现其源代码是否在 SolarWinds 供应链攻击中被修改。为了调查 SolarWinds Orion 软件更新中植入的恶意软件,微软开源了其使用的 CodeQL 查询。微软使用 CodeQL 查询分析其源代码,确认其源代码中没有与 SolarWinds 事件相关的泄密指标和编码模式。

CodeQL 是一个语义代码分析引擎,它可以扫描发现代码库中的漏洞。使用 CodeQL,可以像对待数据一样查询代码。

这是一个有用的工具,更好是,微软开源了其抓捕黑客代码的知识,这种积极主动开源的心态值得点赞。果然是开源大厂。

Google 承认 Kubernetes 容器技术太复杂

Google 的 GKE 产品负责人,尽管有过去六年的进步,Kubernetes 仍然难以置信的复杂,过去一年他们看到很多企业用户拥抱 Kubernetes,但随后就陷入了困境。

Google 推出了新的 Autopilo 服务尝试简化配置和管理,可以通过预配置选项在减少灵活性的同时增加方便性。

相对来说,AWS 等厂商的 Kubernetes 发行版在易用性方面就比原版的强出不少。

LastPass 安卓应用中有 7 个嵌入式追踪器

一份关于著名的密码管理器 LastPass 的报告显示,它的 Android 应用中有 7 个追踪器,其中包括来自谷歌的 4 个追踪器,目的是进行分析和崩溃报告。这些追踪器收集到的信息包括正在使用的设备、移动运营商、账户类型、谷歌广告 ID 等。LastPass 表示这些数据用于帮助改进和优化产品,并且用户可以设置关闭。

而对于其它的密码管理器,1Password 和 KeePass 中没有追踪器。开源的 Bitwarden 有两个,用于谷歌的 Firebase 分析和微软 Visual Studio 崩溃报告。

我觉得,对于密码管理器这样的安全敏感应用,还是要谨慎点好。

LastPass是一个跨平台的密码管理程序。在Linux平台中,它可作为Firefox, Chrome和Opera浏览器的插件使用。LastPass Sesame支持Ubuntu/Debian与Fedora系统。此外,LastPass还有安装在Firefox Portable的便携版,可将其安装在USB设备上。再加上适用于Ubuntu/Debian, Fedora和openSUSE的LastPass Pocket, 其具有良好的跨平台覆盖性。虽然LastPass备受好评,但它是一个专有软件。此外,LastPass最近被LogMeIn收购。如果你在找一个开源的替代品,这篇文章可能会对你有所帮助。

我们正面临着信息大爆炸。无论你是要在线经营生意,找工作,还是只为了休闲来进行阅读,互联网都是一个海量的信息源。在这种情况下,长期保留信息是很困难的。然而,及时地获取某些特定信息非常重要。密码就是这样的一个例子。

作为一个电脑用户,你可能会面临在不同服务或网站使用相同或不同密码的困境。这个事情非常复杂,因为有些网站会限制你对密码的选择。比如,一个网站可能会限制密码的最小位数,大写字母,数字或者特殊字符,这使得在所有网站使用统一密码变得不可能。更重要的是,不在不同网站中使用同一密码有安全方面的原因。这样就不可避免地意味着人们经常会有很多密码要记。一个解决方案是将所有的密码写下来。然而,这种做法也极度的不安全。

为了解决需要记忆无穷多串密码的问题,目前比较流行的解决方案是使用密码管理软件。事实上,这类软件对于活跃的互联网用户来说极为实用。它使得你获取、管理和安全保存所有密码变得极为容易,而大多数密码都是用软件或文件系统加密过的。因此,用户只需要记住一个简单的密码就可以获取到其它所有密码。密码管理软件鼓励用户对于不同服务去采用独一无二的,非直观的高强度的密码。

为了让大家更深入地了解Linux软件的质量,我将介绍4款优秀的、可替代LastPass的开源软件。

KeePassX

KeePassX

KeePassX是KeePass的多平台移植,是一款开源、跨平台的密码管理软件。这款软件可以帮助你以安全的方式保管密码。你可以将所有密码保存在一个数据库中,而这个数据库被一个主密码或密码盘来保管。这使得用户只需要记住一个单一的主密码或插入密码盘即可解锁整个数据库。

密码数据库使用AES(即Rijndael)或者TwoFish算法进行加密,密钥长度为256位。

该软件功能包括:

  • 管理模式丰富

    • 通过标题使每条密码更容易被识别

      • 可设置密码过期时间
      • 可插入附件
      • 可为不同分组或密码自定义标志
      • 在分组中对密码排序
  • 搜索功能:可在特定分组或整个数据库中搜索
  • 自动键入: 这个功能允许你在登录网站时只需要按下几个键。KeePassX可以帮助你输入剩下的密码。自动键入通过读取当前窗口的标题,对密码数据库进行搜索来获取相应的密码
  • 数据库安全性强,用户可通过密码或一个密钥文件(可存储在CD或U盘中)访问数据库(或两者)
  • 安全密码自动生成
  • 具有预防措施,获取用星号隐藏的密码并检查其安全性
  • 加密 - 用256位密钥,通过AES(高级加密标准)或TwoFish算法加密数据库,
  • 密码可以导入或导出。可从PwManager文件(.pwm)或KWallet文件(.xml)中导入密码,可导出为文本(*.txt)格式。

  • 软件官网:www.keepassx.org
  • 开发者:KeepassX Team
  • 软件许可证:GNU GPL V2
  • 版本号:0.4.3

Encryptr

Encryptr

Encryptr是一个开源的、零知识(zero-knowledge)的、基于云端的密码管理/电子钱包软件,以Crypton为基础开发。Crypton是一个Javascript库,允许开发者利用其开发应用来上传文件至服务器,而服务器无法知道用户所存储的文件内容。

Encryptr可将你的敏感信息,比如密码、信用卡数据、PIN码、或认证码存储在云端。然而,由于它基于零知识的Cypton框架开发,Encryptr可保证只有用户才拥有访问或读取秘密信息的权限。

由于其跨平台的特性,Encryptr允许用户随时随地、安全地通过一个账户从云端获取机密信息。

软件特性包括:

  • 使用非常安全的零知识Crypton框架,只在你的本地加密/解密数据
  • 易于使用
  • 基于云端
  • 可存储三种类型的数据:密码、信用卡账号以及通用的键值对
  • 可对每条密码设置“备注”项
  • 过滤和搜索密码
  • 对密码进行本地加密缓存,以节省载入时间

  • 软件官网: encryptr.org
  • 开发者: Tommy Williams
  • 软件许可证: GNU GPL v3
  • 版本号: 1.2.0

RatticDB

RatticDB

RatticDB是一个开源的、基于Django的密码管理服务。

RatticDB被设计为一个“密码生命周期管理工具”而不是单单一个“密码存储工具”。RatticDB致力于及时提醒用户哪些密码在何时需要更改。它不提供应用层面的密码加密。

软件特性包括:

  • 简洁的ACL设计
  • 可改变队列功能,可让用户知晓何时需要更改某应用的密码
  • 支持Ansible配置

  • 软件官网: rattic.org
  • 开发者: Daniel Hall
  • 软件许可证: GNU GPL v2
  • 版本号: 1.3.1

Seahorse

Seahorse

Seahorse是一个GnuPG(GNU隐私保护软件)的Gnome前端界面。它的目标是提供一个易于使用密钥管理工具,以及一个易于使用的界面来控制加密操作。

Seahorse是一个工具,用来提供安全传输和数据存储服务。数据加密和数字密钥生成操作可以轻易通过GUI来操作,密钥管理操作也可以轻易通过直观的界面来进行。

此外,Seahorse包含一个Gedit插件,可以使用鹦鹉螺文件管理器管理文件,一个管理剪贴板中事物的小程序,一个存储私密密码的代理,还有一个GnuPG和OpenSSH的密钥管理工具。

软件特性包括:

  • 对文本进行加密/解密/签名
  • 管理密钥及密钥环
  • 将密钥及密钥环与密钥服务器同步
  • 密码签名及发布
  • 将密码缓存起来,无需多次重复键入
  • 对密钥及密钥环进行备份
  • 可添加一个GDK支持格式的图片作为OpenGPG图片ID
  • 生成SSH密钥,对其进行验证及储存
  • 多语言支持

  • 软件官网: www.gnome.org/projects/seahorse
  • 开发者: Jacob Perkins, Jose Carlos, Garcia Sogo, Jean Schurger, Stef Walter, Adam Schreiber
  • 软件许可证: GNU GPL v2
  • 版本号: 3.18.0

via: http://www.linuxlinks.com/article/20151108125950773/LastPassAlternatives.html

译者:StdioA 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出