最新动态
NEWS
最新动态 > 密码巨头LastPass数据遭泄露,黑客得手却很无奈
密码巨头LastPass数据遭泄露,黑客得手却很无奈
2022-12-03

11月30日,世界最大的密码管理软件之一LastPass 表示,有黑客在侵入系统后窃取了部分数据信息。

这些被窃取的数据很重要。LastPass 服务的企业超10万家,LastPass 是帮助用户存储和记录密码的软件,在它的服务器里理所当然地会保存有大量的用户密码。它们可能是手机锁屏密码、或公司电脑的开机密码,也可能是银行卡密码、游戏登录账密、医疗账户、社交软件登录、系统访问凭证等。

LastPass 已经确认,此次黑客能够顺利侵入服务器,是因为黑客在今年8月通过一个受感染的开发人员账户访问了LastPass 的开发环境,并窃取了LastPass的部分源代码和专有技术信息,并借此获得了对数据的访问权限。

这不是黑客想要的结果!

然而," 得手 " 后的黑客在欣喜若狂打开他们窃取到的文件时,映入眼帘的并不是能够 " 发家致富 " 的大量账号密码,而是一串串完全不知所云的乱码。一群黑客费劲心思获得的数据,竟然毫无意义。

这归功于LastPass 以为傲的 " 零知情 "(Zero Knowledge)架构。

LastPass首席执行官表示,由于LastPass采用了零知情架构,虽然出现了数据泄露,但用户的密码数据仍然是安全加密的。

" 零知情 "架构?

零知情架构是,对用户密码的加密发生在设备层面而非服务器层面,这使得单纯的侵入服务器并不会导致主密码泄露。

简单来说,LastPass的零知情架构是对所有的账号、密码进行高度加密运算,而其加密密钥的生成以及整个加密运算过程,都是在用户的本地设备上进行的。首先上传、储存的信息都是加密后的数据;其次加密密钥是在用户的设备上随机生成的,而并非事先设定好的。

此次事件当中,LastPass 服务器被攻破需要承担责任,毕竟服务器数据泄露是事实。但,零知情架构成功阻止了黑客获取有用数据也是事实。

那么,国内有没有类似 “零知情” 架构的软件呢?

商务密邮作为数据安全的守护者,为用户提供安全、高效、实用的电邮产品,防护方案从用户实际业务场景出发,秉承“内外兼防”的部署策略,从邮件建立到接收的全周期邮件安全解决方案。具体如下:

1、专属加密客户端

商务密邮为企业用户提供专属客户端,用户对邮件数据进行加密保护后发送,从源头上控制信息外泄,确保邮件在传输中、服务器储存中都以密文状态。加密后的邮件在非授权情况下,均无法查看。

2、邮件数据加密,确保邮件密文传输

商务密邮采用SSL+国密算法对邮件数据进行加密,无论邮件遭遇服务器攻击或中途拦截,数据均为“一邮一密”的密文形式,每封邮件都有独立的高强度随机密钥,黑客无法窃取邮件数据的真实内容,解密邮件还可进行二次加密。保证邮件在传输过程中和存储时都处于密文状态,有效规避因服务器攻击、账号密码被盗,设备漏洞、系统漏洞等各种情况导致的泄密。

3、违规数据禁止外发

商务密邮在对邮件高强度加密的基础上,也非常注重策略上的管控。商务密邮为政企机构提供邮件防泄漏系统可针对邮件正文、附加文件、文档、文本进行扫描,未经授权有任何涉密内容发出,将立刻进行阻断,并上报进行审批,确保内部数据不外泄;

4、给邮件打上可追溯的“防伪水印标签”

目前仍然存在“有心者”拍照或截图的图片形式将邮件内容外泄。为避免重要邮件外泄,商务密邮水印功能,可给每一封邮件加盖指定的水印,一旦发现邮件泄露,可根据水印内容快速追溯泄露源头,同时用户还可通过专属的邮件水印辨别邮件真伪,避免被钓鱼攻击;

5、邮件加密归档

企业级用户可通过恢复数据,快速实现系统正常运行。因为数据加密归档,所以即使漏洞导致数据外泄,数据依然处于密文状态,避免了企业数据泄露后被恶意利用。