三千多万用户数据泄露，这次我们的推荐翻车了。。。不知道各位差友还有没有印象

不知道各位差友还有没有印象。
我们不久之前提到过， Chromium系浏览器用了一种“把钥匙插在保险箱”上的办法来“加密”你保存的密码。

文章图片
这就导致假如你电脑里没有火绒一类的规则安全软件的话。。。中了毒之后一秒就能被黑客盗走你的各种账号密码。
当时我们给大家的建议之一就是把密码导出到第三方密码本软件，他们更专业，并且普遍实行严格的加密政策。

文章图片
想从他们那拿到储存的账号和密码，会更加困难。
但是。。。我们这脸被打的，好像有点儿快？
上周，有三千多万用户的世界知名密码管理工具LastPass直接整了个大活：
他们发现，大量数据库备份，其中包括用户数据以及储存的用户账号密码，被人给摸走了！

文章图片
由于托尼在几年前也使用过LastPass ，所以第一时间去官网看了一下什么情况。
一上来的消息就非常不妙：这次有很多明文的数据泄露出去了。
啥意思呢？
好消息：你的密码是加密存储的，问题不大。
坏消息：除了密码没问题，其它的都有问题，并且问题很大！
因为LastPass并没有给用户的注册邮箱和手机号，账单地址， IP地址等大量关键隐私数据加密。
甚至连用户保存账号密码的网址，他们也没有加密。

文章图片
我们来举个例子，假设我们的小黑胖是个LastPass的重度用户。
黑客拿到这次泄露的数据之后，首先可以知道小黑胖的邮箱地址和手机号——不过这些信息其它平台也泄露个七七八八了。
但和以往不同的是，这次黑客还能知道小黑胖在哪些平台注册过账号！！！
这些信息乐观估计，可以用来发广告——什么人在什么网站上有账号，这可是“用户画像”数据啊！

文章图片
而更阴暗一点，则可以帮助诈骗或黑客集团“精耕细作” ，挑选受害者。
比如这样。

文章图片
话说到这里，肯定也会有小伙伴儿说了：
“我有足够的防骗意识，而且我也没在不干净的网站上注册过账号，你说的这些情况我都不担心。 ”
嗯。。。那接下来这点，你可能该坐不住了。。。
【三千多万用户数据泄露，这次我们的推荐翻车了。。。】因为LastPass的加密根本没有他们说的那么无懈可击。
LastPass要求用户设置一个主密码，用户每次想用自己存的密码，都得把它输一遍。因此这个密码必须非常难破解才够安全。
但他们曾在2018年被怀疑安全措施远远落后于时代，在那之后， LastPass改进了加密方式，密钥迭代增加到了10万次，并且要求用户至少采用12位的密码。
然而令人吐血的是，这次升级实际上并不是自动进行的， LastPass也没有强制要求那些采用不安全密码的用户更换新的密码。
结果就是很多老用户的账户既没有被升级到新的加密方法，也仍然在使用位数不够或已经泄露的旧密码。
托尼的旧账户就是其中之一，这个2014或2015年（记不太清）创建的账户并没有自动升级到新的加密方法，仍然在使用旧的5000次迭代加密。