我们不久之前提到过，Chromium 系浏览器用了一种 “ 把钥匙插在保险箱 ” 上的办法来 “ 加密 ” 你保存的密码。

　　这就导致假如你电脑里没有火绒一类的规则安全软件的话。。。中了毒之后一秒就能被黑客盗走你的各种账号密码。

　　当时我们给大家的建议之一就是把密码导出到第三方密码本软件，他们更专业，并且普遍实行严格的加密政策。

　　因为 LastPass 并没有给用户的注册邮箱和手机号，账单地址， IP 地址等大量关键隐私数据加密。

　　黑客拿到这次泄露的数据之后，首先可以知道小黑胖的邮箱地址和手机号 —— 不过这些信息其它平台也泄露个七七八八了。

　　这些信息乐观估计，可以用来发广告——什么人在什么网站上有账号，这可是 “ 用户画像 ” 数据啊！

　　LastPass 要求用户设置一个主密码，用户每次想用自己存的密码，都得把它输一遍。因此这个密码必须非常难破解才够安全。

　　但他们曾在 2018 年被怀疑安全措施远远落后于时代，在那之后， LastPass 改进了加密方式，密钥迭代增加到了 10 万次，并且要求用户至少采用 12 位的密码。

　　然而令人吐血的是，这次升级实际上并不是自动进行的， LastPass 也没有强制要求那些采用不安全密码的用户更换新的密码。

　　结果就是很多老用户的账户既没有被升级到新的加密方法，也仍然在使用位数不够或已经泄露的旧密码。

　　托尼的旧账户就是其中之一，这个 2014 或 2015 年（ 记不太清 ）创建的账户并没有自动升级到新的加密方法，仍然在使用旧的 5000 次迭代加密。

　　这些不符合现代安全要求的密码很可能会在几小时到几个月内被黑客轻松批量破解，之后的故事。。。估计你们就该猜到了。

　　而且同样有人指出，即使采用了 LastPass 官方推荐的安全手段，这次泄露仍然会给一些高价值人群带来风险。

　　他们如果愿意出几十上百万美元，租上几千块显卡来破解，配合上对用户信息的了解（ 大多数人不会采用完全随机的密码，总会有一些个人特色 ），真的有可能在较短时间里试出密码。

　　总而言之，不要相信 LastPass 这次公告中 “ 目前不需要执行任何建议的操作 ” 的建议。

　　同时，托尼也对 LastPass 的专业程度表示怀疑。本该加密的用户信息，为何是明文储存的？

　　如果黑客得到的信息里不包括明文，那就没法从中找出某个特定的人，更别说配合用户信息来破解密码了。

　　我后来好好查了查 LastPass 历来的安全事件，结果发现他们家数据库好像有点儿。。。漏风啊。。。

　　其实长久以来，世界上就没有绝对安全的一堵墙， LastPass 的友商们也许做得比它更安全，但是只要靶子立在这里，也就必然有被攻破的那一天电脑自动翻墙。

　　估计有些小伙伴看完这条推送之后，可能就要急吼吼去销毁密码管理器里的记录，然后回归传统的 “ 脑力 ” 记忆法了。

　　不过在那之前的最后，对于有能力的小伙伴，我们可以试着自己用开源的 Bitwarden 或者 KeePass，搭建一个属于自己的独立密码管理器。

　　本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。