LastPass已采取措施阻止针对密码管理器的网页钓鱼攻击


最后更新:2018-10-10 / 围观:1 次 / 来源:itwriter

  安全研究员 Sean Cassidy 最近发现有针对热门密码管理器 LastPass 的钓鱼攻击,而这件事也已经引起了后者的注意。为了帮助减轻被钓鱼的风险,LastPass 决定增加额外的步骤。Cassidy 所说的“LostPass 攻击”,是指在浏览器上显示的 LastPass 信息很容易伪造,在将受害者引诱至一个精心编造的恶意站点后,终端用户很难分辨它们的真假。


  

  如果用于已经安装了 LastPass,那么攻击者就会伪造一个登录过期的通知,欺骗用户需要重登陆。然后,它只需要静静等待用户输入登录凭证。即使用户设置了 2 步口令,也是如此照搬一遍。

  在获取了用户的登录凭证之后,攻击者会窃取用户的所有其它密码,甚至在账户中安装一个后门(通过紧急联络功能)、或者禁用两步验证等。

  在后续的文章中,LastPass 已采取措施阻止恶意页面将用户踢出该密码管理器的登陆状态。

  如此一来,即使恶意页面忽悠用户已登出,但在快速检查浏览器工具栏上的 LastPass 扩展之后,你就会知道自己其实并未登出。

  此外,当用户忽略这一重要信息,并在非 LastPass 页面上输入主密码的时候,管理器就会弹出一个警示。

  最后,即使攻击者仍然成功骗取到了 LastPass 的主密码,也是很难绕过该密码管理服务的电子邮件认证系统的(在未知设备或地点登录的时候,是需要用户授权的)。

  [编译自:]


【日大侠】所载文章部分来自网络,如果您有异议或者版权等方面的问题,请将详细信息(标题、链接等)通过底部【联系我们】发给【日大侠】,【日大侠】会在收到邮件后7个工作日内进行处理,感谢您对【日大侠】的关注与支持!

最新图文


访问和使用 日大侠,即表明您已仔细阅读并且完全接受和遵守 日大侠 的版权声明。
ICP备18039168号 | 基于 Destoon 构架
日大侠QQ交流群:日大侠QQ交流群
© 2018 日大侠