LastPass将强制执行12个字符的主密码要求

LastPass 强制要求 12 字符主密码更新

关键要点

LastPass 决定将主密码要求更新至 12 个字符，以应对安全威胁。从 2018 年开始，12 字符密码即为默认设置，但用户可以选择更短的密码。使用 12 字符密码的用户无需更改，其他用户将收到重置提示。强密码的最佳实践包括使用大写字母、小写字母、数字和特殊字符，避免使用个人信息。

随着安全威胁的加剧以及一系列针对 LastPass 密码管理器的安全事件，LastPass 宣布将强制实施 12 字符主密码要求。根据 1 月 2 日的博客文章，虽然自 2018 年以来，12 字符主密码一直是该公司的默认设置，但用户仍可以选择创建较短的密码。

对于已经使用 12 字符密码的用户，无需执行任何操作，而使用少于 12 个字符的用户将收到重置主密码的提示。

LastPass 在实施新要求时纳入了许多最佳实践，部分内容如下：

最佳实践说明字符数至少使用 12 个字符，建议使用更多字符。字符种类至少包含大写字母、小写字母、数字和特殊字符。可记忆性制作容易记住但不易猜测的密码，例如短语。唯一性确保密码仅对设置人唯一。个人信息不要使用电子邮件地址或个人信息作为主密码。序列字符避免使用顺序字符如“1234”或重复字符如“aaaa”。不重用不要在其他账户或应用中使用同一主密码。

行业对 LastPass 最低字符要求的反应

最近几天，关于密码的讨论在安全界引发关注，尤其是 LastPass 的宣布，以及 23andMe 报告称用户密码不当使用导致泄露事件。

尽管 LastPass 强制实施 12 字符主密码并不能完全阻止 恶意行为，DataDome 研究主管 Antoine Vastel 表示，这为用户树立了创建强密码的重要性。

白鲸加速器官方

Vastel 指出，对于用作密码管理器的主密码而言，强密码至关重要。创建独特的未重用的密码有助于防止凭据填充攻击，攻击者会利用机器人大规模测试其他平台的凭据。

“使用较长密码使得在密码管理器数据泄露的情况下，攻击者更难破解原始主密码，”Vastel 说。“攻击者破解的成本会更高，因为这些密码并未以明文形式存储。当网络犯罪分子控制了一些在线账户后，可能会在受害者不知情的情况下执行未经授权的交易。一旦黑客进入用户账户，他们便掌握了访问相关银行账户、信用卡及个人数据的钥匙，这些信息可用于身份盗窃。”

Critical Start 网络威胁研究高级经理 Callie Guenther 也表示，较长的密码在对抗暴力攻击时更具安全性。Guenther 解释，增加每个字符会指数级增加可能的组合数量，从而使攻击者更难以破解密码。通过执行更长的主密码，Guenther 指出 LastPass 有助于用户为其保管库数据生成更强的加密密钥，这对保护存储的凭据至关重要。

“然而，单靠主密码，无论其长度如何，并不是最强大的安全方法，”Guenther 说道。“多重身份验证和定期监控被泄露凭据等额外安全层是必不可少的。LastPass 重新注册用户进行多重身份验证的举措是至关重要的一步。多重身份验证增加了额外的安全层，确保即使主密码被泄露，仍然可以防止未授权访问。”

Keeper Security 的联合创始人兼首席执行官 Darren Guccione 表示