行業新聞與部落格

在遭遇一系列重大密碼洩露事件兩年後，LastPass 已開始對其客戶實施更為嚴格的密碼措施。

其中包括要求所有客戶使用至少 12 個字元的主密碼。
自 2018 年以來，這項措施一直是 LastPass 的預設選項。2023 年 4 月，新客戶和重置主密碼的現有客戶必須執行該措施。

但是，其他現有客戶，即 2023 年 4 月之前加入且未更改主密碼的客戶，可以保留較短的主密碼直到現在。

LastPass 高階首席情報分析師 Mike Kosak 在宣佈這一變化的部落格文章中解釋道：“說到密碼的安全性和彈性，數量越多越好。但這只是開始。密碼強度是一個複雜的概念，它由長度、複雜性和不可預測性等多種因素決定。”

儘管現行的美國國家標準與技術研究所 (NIST) 指南 (NIST 800-3B) 要求人工生成的密碼長度至少為 8 個字元，但密碼破解和暴力破解技術的最新進展意味著建議使用更長的密碼，他繼續說道。

關於設定良好主密碼的其他建議

LastPass 為需要更改主密碼的客戶提供了一份額外建議清單。其中包括：

• 建議使用長度超過 12 個字元的主密碼
• 使用下列各項中的至少一種：大寫字母、小寫字母、數字和特殊字元值
• 使新的主密碼容易記住，但不容易猜到（例如密碼短語）
• 確保它僅對個人是唯一的，並且不會在其他任何地方重複使用
• 不使用電子信箱地址作為主密碼
• 主密碼中不包含個人資訊
• 沒有連續字元（例如“1234”）或重複字元（例如“aaaa”）

我們將從 1 月底開始分階段推行這項新措施，逐步推動客戶實施新措施。

科薩克寫道，這項新政策“只是一系列進步舉措的一部分，旨在幫助我們的客戶更好地保護自己免受現有和新出現的網路威脅”，並暗示新的密碼安全措施可能很快就會推出。

宣佈重新註冊 MFA

LastPass 還將開始將其客戶的新主密碼與已知洩露憑證的資料庫進行交叉檢查，以確保密碼之前沒有在暗網上洩露過。

該公司還將開始提示客戶使用 Microsoft Authenticator 和 Google Authenticator 等常見身份驗證器重新註冊其多因素身份驗證 (MFA)。

閱讀更多：MFA 足以保護您免受網路攻擊嗎？

這些新措施是在 LastPass 於 2022 年遭受多次入侵之後採取的，當時未經授權的一方獲取了該公司的部分資料。