LastPass 要求主密码长度最短为12个字符

尽管 LastPass 自2018年起就提出了12个字符的主密码要求，但用户总是能够想办法使用薄弱密码。LastPass 公司指出，“虽然在2018年LastPass的主密码长度默认设置就是12个字符，但客户总能够无视推荐的默认设置并选择设置字符数更少的主密码。”

LastPass 自2023年4月起就开始强制要求新账户或在密码重置时使用12个字符长的主密码，但老旧账户仍然可以使用字符更少的密码。从本月开始，该公司要求所有账户必须使用至少12个字符长的主密码。

另外，LastPass 公司还指出，将开始对照此前被泄露在暗网的凭据数据库与新设或更新的主密码，确保它们之间不匹配。如发现匹配情况，则会通过安全提醒弹出消息的方式向客户发出警报并提示设置其它密码。

为提升账户安全性，LastPass 还在2023年5月开始强制要求使用多因素重新登记流程，为此很多用户遭遇重大登录问题并被迫登出。LastPass 公司的资深首席情报分析师 Mike Kosak 提到，“这些变化包括要求客户更新主密码长度和复杂性，满足建议的最佳实践并提示客户重新登记多因素认证等。从2024年1月开始，LastPass 将要求所有账户使用至少为12个字符长的主密码。”

LastPass 公司表示，B2C客户将很快收到相关邮件通知，B2B客户将在1月10日收到通知。

2022年安全事件导致主密码被破解

2022年8月和11月发生的两起安全事件是上述措施的直接原因。

2022年8月，LastPass 公司证实称，攻击者入侵某软件工程师的企业笔记本后通过受陷开发者账户攻破开发者环境。在此期间，攻击者窃取源代码、技术信息和一些内部系统机密。

12月，攻击者利用这些被盗信息发起另一起攻击。他们利用一个RCE漏洞安装键盘记录器，攻破一名资深 DevOps 工程师的电脑，从加密的 Amazon S3存储桶中盗取客户机密数据。2023年10月，攻击者利用从 2022年安全事件中窃取的私钥和密码从超过25家受害者处盗取440万美元的密币。

MetaMask 开发者 Taylor Monahan 和 ZachXBT 提到，攻击者正在破解被盗的 LastPass 主密码获得对密码的访问权限。攻击者可利用该访问权限搜索密币钱包密码、凭据和私钥，并借此将钱包加载到自身设备以窃取所有资金。

LastPass 公司表示，公司的密码管理解决方案用于全球超过3300万人员和10万家企业。