LastPass今天宣布 (通过电子邮件) 主密码的要求已更改.主密码是用于访问帐户的主要密码。
在一封电子邮件中, LastPass 声明“所有主密码必须满足 12 个字符的最低要求”。据该公司称,使用少于12个字符的主密码的客户将被要求更新它们。
为了更好地理解这一变化,有必要回顾2018年。当时,LastPass将主密码的最小长度更改为12个字符。在更改登陆当年后创建的所有新帐户都需要设置包含 12 个或更多字符的主密码。
LastPass当时没有做的是要求旧帐户更改其主密码。LastPass成立于2008年。在 2008 年至 2018 年之间创建帐户的用户可能使用少于 12 个字符的主密码创建了帐户。
由于 LastPass 在 2018 年没有强制要求新的主密码限制, 用户可以继续使用较短的主密码登录服务.
较短的密码被认为是弱密码,因为暴力攻击需要更少的时间来揭示密码。例如,使用6个字符的密码即使使用用户编号,大小写字母和符号,也会立即被暴力破解。
使用相同字符组合的 12 个字符的密码可能需要数年时间才能暴力破解。
未能强制执行最小密码长度并不是唯一的错误。LastPass确实更改了数量PBKDF2 迭代从之前的 100100 限制到 5000,但它也没有强制执行更改。
这最后通行证黑客 过去的年使旧帐户比新帐户面临更大的破解风险。
现在,LastPass应该在2018年实施更改:所有使用少于12个字符的主密码的LastPass客户都需要更改它。
LastPass建议用户在进行更改之前设置“帐户恢复”。这是在无法记住主密码的情况下重新获得对帐户的访问权限的唯一方法。
如果现有用户的密码长度少于 12 个字符,则会看到一条提示,其中包含更新主密码的说明。
它指出:“产品内提示将是您在被迫注销并设置新的主密码之前的最终通知。
立即采取行动,以避免在强制执行此更改时可能发生的潜在帐户锁定或支持请求延迟。大多数用户可能希望设置超过 12 个字符的密码。虽然这可能会使密码不太容易记住,但它显着提高了暴力保护。