科客點(diǎn)評(píng)：本地存儲(chǔ)密碼，不經(jīng)過(guò)服務(wù)器應(yīng)該安全點(diǎn)。

　　網(wǎng)絡(luò)信息安全一直是個(gè)吸引注意力和財(cái)力的問(wèn)題。對(duì)于用戶(hù)來(lái)說(shuō)，一個(gè)重要的風(fēng)險(xiǎn)來(lái)自人類(lèi)不可靠的記憶力。為了讓自己記得住密碼，我們傾向于把所有賬戶(hù)設(shè)置成一個(gè)相同或相似的密碼，同時(shí)為了便于記憶加入了許多包含個(gè)人身份特征的字母數(shù)字。這就使黑客有機(jī)可乘。

　　在幾年之前，以 LastPass 為首的一批密碼管理服務(wù)想到一個(gè)絕妙的注意。他們?yōu)槊總€(gè)賬號(hào)生成一個(gè)獨(dú)特的密碼，隨機(jī)使用一串復(fù)雜的符號(hào)和數(shù)字，并把它們用軟件儲(chǔ)存起來(lái)。這樣用戶(hù)只需要管理好一個(gè)主密碼，就能提高大部分賬戶(hù)的安全性。

　　壞消息是，LastPass 不得不又一次承認(rèn)，密碼交給他們其實(shí)也不安全。本周一，LastPass 承認(rèn)在上周五遭到了黑客攻擊，導(dǎo)致部分用戶(hù)主密碼泄露。LastPass 得知消息后立即重置了這部分用戶(hù)的密碼，并要求通過(guò)郵箱認(rèn)證再次登錄。

　　但是這個(gè)消息也嚇壞了不少用戶(hù)。因?yàn)楹诳瞳@取了主密碼也就意味著獲取了其它所有賬號(hào)的密碼，他們可能利用此進(jìn)入價(jià)值更高的銀行賬戶(hù)、交易賬戶(hù)等。

　　“這件事的危害確實(shí)取決于(LastPass)在多短時(shí)間里發(fā)現(xiàn)了漏洞，而我們現(xiàn)在沒(méi)有任何這方面的信息。”斯坦福大學(xué)密碼學(xué)的研究員 Joseph Bonneau 在接受《連線(xiàn)》網(wǎng)站采訪(fǎng)時(shí)說(shuō)。因?yàn)橥系迷骄茫M(jìn)入關(guān)鍵賬戶(hù)盜取信息的可能性就越大。

　　此前在 2011 年，LastPass 遭遇了它第一次密碼泄露危機(jī)。和 1PassWord 對(duì)密碼管理的方式不同，LastPass 為了方便提取，把用戶(hù)所有的密碼儲(chǔ)存在云端。這種云儲(chǔ)存方式，使它 24 小時(shí)都“在線(xiàn)”，反而增加了成為黑客目標(biāo)的可能。

　　LastPass 的泄露再次提醒人們，如果你對(duì)家人放心，拿起一個(gè)筆記本把密碼記在那里，可能是更安全的管理方式。（好奇心日?qǐng)?bào)，原標(biāo)題《又一個(gè)密碼管理服務(wù)被黑，密碼還是記在紙上更安全》）