LastPass强制所有用户将主密码更改为至少12个字符，这可能是为了应对2022年该公司遭受的黑客攻击LastPass周四向用户发送了一封有关新要求的电子邮件。“所有主密码必须至少满足12个字符的要求。如果您的主密码少于12个字符，您将需要更新它，”该消息说道。

该电子邮件补充说，LastPass通过制定新要求“致力于满足最新的行业安全标准和最佳实践”。LastPass的发言人补充道，“这并不是为了应对新的威胁或事件。”

该公司计划发布更详细的声明。尽管如此，LastPass也可能对最近有关去年大规模泄露事件的报告做出反应，该事件涉及黑客抢劫所有用户的密码库。尽管被盗的保管库已加密，但如果您能正确猜测每个保管库的主密码，您仍然可以闯入它们。

这就是LastPass漏洞的一些受害者可能会遇到的情况。据记者布莱恩·克雷布斯(BrianKrebs)报道，安全研究人员怀疑骗子已经破解了金库的主密码，从而使他们能够访问加密货币钱包的登录信息。

在自动化软件的帮助下，如果登录使用的字符较少，破解密码就会变得更加容易。以LastPass为例，该公司从2018年开始要求新用户的主密码长度至少为12个字符。但克雷布斯表示，该公司忽略了对现有用户的要求。此外，LastPass可能无法通过足够的加密例程来运行主密码，以防止潜在的密码破解。

黑客似乎从150多名受害者那里窃取了3500万美元。没有证据表明加密货币盗窃与LastPass漏洞有关，但看起来LastPass正在努力赶上并增强所有用户的登录安全性，尽管损害已经造成。本月早些时候，该公司还开始要求用户为其帐户重置多重身份验证(MFA)，作为另一项预防措施。

“MFA重新注册无法仅靠LastPass完成，需要我们的客户采取行动来完成此过程，”该公司告诉PCMag。“我们的一部分客户仍未采取此建议的操作，因此我们提示他们在下次登录LastPass时完成此步骤。”

“LastPass的新主密码长度要求是我们今年3月承诺的一系列计划和渐进举措的一部分，旨在为我们的客户提供更安全的体验。从历史上看，LastPass一直使用12个字符的主密码自2018年以来的默认设置，客户仍然可以放弃默认设置，并选择使用更少的字符(如果他们愿意)。通过强制执行至少12个字符的主密码要求，以及我们早些时候提供的PBKDF2迭代增加今年，我们正在帮助用户创建更强大、更有弹性的加密密钥，用于访问和加密他们的LastPass金库数据。”

“这些举措始于几个月前的2023年4月，当时所有LastPass新客户以及任何重置主密码的现有客户都被要求创建长度至少为12个字符的主密码。现在，从10月份开始，LastPass将要求所有现有客户将其主密码更新为至少12个字符。为了满足这一新要求，我们本周开始向免费、高级和家庭客户发送电子邮件，建议他们将主密码更新为至少12个字符，网址为他们尽早方便，以避免他们的帐户受到任何干扰。”

“同样，我们计划从10月份开始向我们的Business、Enterprise和Teams客户发送有关此要求的电子邮件。已确认其主密码包含12个或更多字符的LastPass客户无需采取任何操作。”