图片来源:
LastPass
为了强化用户帐号的安全性,密码管理业者LastPass本周宣布,将强制要求用户的主密码(Master Password)都必须至少采用12个字元,且在本月底前就会通知所有用户。
其实LastPass自2018年以来便以12个字元当作设定主密码的预设值,但依然允许用户建立字元数较少的密码,一直到2023年4月,开始强制要求所有新用户或是重设主密码的用户采用12个字元的密码,而自今年1月起,将开始要求所有既有用户都采用12个字元的主密码。
除了长度最少要达到12个字元之外,LastPass也建议用户在建立密码时,应该要夹杂大、小写,数字或特殊字元,也可采用不容易被猜到的密码短语,不要采用与其它服务一样的密码,也不要使用连续字元或个人资讯。
LastPass表示,密码强度是一个复杂的概念,其因素包含长度、复杂度及不可预测性,目前美国国家标准与技术研究所(NIST)指南要求使用者所建立的密码长度最少为8个字元,但有鉴于各种密码破解技术的最新进展,再加上人们倾向于建立可预测且方便记忆的密码,因此建议使用者采用更长的密码。
LastPass服务主要是让使用者管理所有的密码,而主密码更是存取这些密码的门户,也让LastPass持续成为骇客的攻击目标,涵盖网钓及凭证填充攻击。
根据LastPass的规画,该平台将先针对免费、高阶及家庭用户发送电子邮件通知,要求他们变更主密码至12字元以上,继之才会通知团队及企业用户,预计会在今年1月底前完成通知。