安全专家指责 LastPass 公告：避重就轻混淆视听

　　IT之家 12 月 28 日消息，密码管理工具 LastPass 在圣诞节前发布公告，承认发生于今年 11 月的安全事件中黑客窃取了包括名称、URL、密码(加密)在内的用户数据。一位安全研究专家在看到这则公告中忍不住发文，称该公告存在 14 个疑点，且避重就轻隐瞒了某些细节，并以真假参半的方式混淆用户视听。

　　安全专家 Wladimir Palant 在他的安全博客 Almost Secure 上发帖，认为该公告存在 14 个疑点，并逐条进行了驳斥。

　　IT之家了解到，Palant 认为 LastPass 淡化了风险，并存在“严重疏忽”行为。这涵盖了从该公司声称的透明度到其自身的安全做法等所有内容。

　　其中一个有争议的说法是 LastPass 告诉客户“如果你使用上面的默认设置，使用普遍可用的密码破解技术，需要数百万年才能猜出你的主密码”。而 Palant 表示对于普通用户密码来说，整个破解时间可能只需要 2 个月就可以完成，而不是“数百万年”。

编辑：齐少恒