LastPass是什么？

LastPass作为一款流行的在线密码管理器，同时还可以作为一个浏览器扩展，功能强大。支持PC端和手机端的各种主流浏览器，例如IE、Chrome、 FireFox、 Opera、Safari等，其优势在于跨浏览器平台数据同步，使用范围极广。

当你登录任何一个网站，它就会提醒你保存登录信息，并在云端自动同步，之后再次访问这个网站就会帮你填写登录凭证。

这给密码众多又记不住的用户带来了许多便利。

LastPass爆出安全风险

这一次的漏洞，恰恰源自在LastPass在浏览器扩展中的安全隐患。黑客可以利用这个漏洞获取用户上次登录网站时保存的登录凭证。

这次攻击类型是点击劫持，这也就意味着你浏览的网页并不是真实的网页，而是黑客所精心设计的另一个透明网页，往往就是恶意网页。

这种攻击利用了HTML中iframe标签的透明属性。当你通过网页提示将输入密码的弹出框放置到iframe中时，就会自动跳过验证链中的一个步骤，从而给了黑客趁机而入的机会，以盗窃你最后一次输入的密码。

虽然这个漏洞可能不适用于所有的网站，但其严重性仍是不容忽视的。

此外，研究人员发现LastPass还存在三个可能被攻击者利用的漏洞，如下所示：

1.由于缺乏对可信事件的检查而产生任意快捷键漏洞事件的可能性。

2.允许禁用多个安全检查。

3.允许绕过几个与安全相关的验证。

LastPass密码管理器的制造商承认了这个漏洞，并在9月13日宣布他们已经解决了这个漏洞。

虽然由于该漏洞导致的任何潜在风险仅限于特定浏览器（Chrome和Opera），但作为预防措施，LastPass官方已将补丁自动更新到所有浏览器，但仍需要检查是否是最新版本，因为部分用户的浏览器禁用扩展自动更新。

密码管理器也并不是绝对安全，只是提供一种相对风险较低的密码存储方式。对LastPass用户的建议包括以下几点：

远离未知的个人链接

为所有支持该功能的服务启用多重身份验证（MFA）

不要重复使用或共享密码管理器的主密码

为每个在线帐户创建唯一密码

运行最新的防病毒解决方案，并确保软件在您的计算机上是最新版本

*本文由看雪编辑 LYA 编译自Bleeping computer，转载请注明来源及作者。

声明：该文观点仅代表作者本人，转载请注明来自看雪