LastPass 强制要求 12 字符主密码更新

关键要点

• LastPass 决定将主密码要求更新至 12 个字符，以应对安全威胁。
• 从 2018 年开始，12 字符密码即为默认设置，但用户可以选择更短的密码。
• 使用 12 字符密码的用户无需更改，其他用户将收到重置提示。
• 强密码的最佳实践包括使用大写字母、小写字母、数字和特殊字符，避免使用个人信息。

随着安全威胁的加剧以及一系列针对 LastPass 密码管理器的安全事件，LastPass 宣布将强制实施 12 字符主密码要求。根据 ，虽然自 2018 年以来，12 字符主密码一直是该公司的默认设置，但用户仍可以选择创建较短的密码。

对于已经使用 12 字符密码的用户，无需执行任何操作，而使用少于 12 个字符的用户将收到重置主密码的提示。

LastPass 在实施新要求时纳入了许多最佳实践，部分内容如下：

最佳实践 | 说明
—|—
字符数 | 至少使用 12 个字符，建议使用更多字符。
字符种类 | 至少包含大写字母、小写字母、数字和特殊字符。
可记忆性 | 制作容易记住但不易猜测的密码，例如短语。
唯一性 | 确保密码仅对设置人唯一。
个人信息 | 不要使用电子邮件地址或个人信息作为主密码。
序列字符 | 避免使用顺序字符（如“1234”）或重复字符（如“aaaa”）。
不重用 | 不要在其他账户或应用中使用同一主密码。

行业对 LastPass 最低字符要求的反应

最近几天，关于密码的讨论在安全界引发关注，尤其是 LastPass 的宣布，以及 密码不当使用导致泄露事件。

尽管 LastPass 强制实施 12 字符主密码并不能完全阻止 ，DataDome 研究主管
Antoine Vastel 表示，这为用户树立了创建强密码的重要性。

Vastel指出，对于用作密码管理器的主密码而言，强密码至关重要。创建独特的（未重用的）密码有助于防止凭据填充攻击，攻击者会利用机器人大规模测试其他平台的凭据。

“使用较长密码使得在密码管理器数据泄露的情况下，攻击者更难破解原始主密码，”Vastel说。“攻击者破解的成本会更高，因为这些密码并未以明文形式存储。当网络犯罪分子控制了一些在线账户后，可能会在受害者不知情的情况下执行未经授权的交易。一旦黑客进入用户账户，他们便掌握了访问相关银行账户、信用卡及个人数据的钥匙，这些信息可用于身份盗窃。”

Critical Start 网络威胁研究高级经理 Callie Guenther 也表示，较长的密码在对抗暴力攻击时更具安全性。Guenther解释，增加每个字符会指数级增加可能的组合数量，从而使攻击者更难以破解密码。通过执行更长的主密码，Guenther 指出 LastPass有助于用户为其保管库数据生成更强的加密密钥，这对保护存储的凭据至关重要。

“然而，单靠主密码，无论其长度如何，并不是最强大的安全方法，”Guenther说道。“多重身份验证和定期监控被泄露凭据等额外安全层是必不可少的。LastPass重新注册用户进行多重身份验证的举措是至关重要的一步。多重身份验证增加了额外的安全层，确保即使主密码被泄露，仍然可以防止未授权访问。”

Keeper Security 的联合创始人兼首席执行官 Darren Guccione 表示