黑客福音：LastPass支持存储双因素验证码

密码管理器LastPass增加了一项新功能即存储双因素验证码。这对于黑客而言无疑是好消息。

如今越来越多的人选择使用双因素验证以确保账户免受入侵并检测到恶意入侵者。犯罪分子不仅需要受害者的用户名和密码，还需要双因素验证码才能登陆账户。

一般来说，当你尝试登录到账户比如银行账户时，会在设备（通常是手机）上收到一个一次性访问码并将其执行以进行下一步操作。然而，很多企业包括谷歌、Facebook和Dropbox还会提供设备或app生成一次性访问码的功能。你通常可扫描账户专有二维码，这是为了计算访问码的序列，每分钟左右会生成一个新码。当你登录账户时，你需要提供用户名和密码、在一分钟左右的时间里提供访问码，验证正确后方可登录账户。

而LastPass 验证器支持任何提供标准TOTP算法的服务并会把种子存储在用户的在线LastPass账户中。如果有人入侵你的LastPass账户，这种功能就会损害双因素验证的优势即使用不同设备进行二级验证的功能。

使用密码管理器要比使用少量密码要好，因此至少从理论上能够为每种服务都使用不同且更复杂的密码。但它的风险就在于“把鸡蛋都放进了一个篮子里”即将双因素验证码存储在相同的软件中。不过在真实环境中，它也只是一个理论性风险。你的LastPass账户只要使用了复杂密码，关键数据就不存在风险。

LastPass最近也是问题频出。上周由于更新问题用户无法登录账户，上个月双因素验证实现中存在一个严重问题，其浏览器插件也存在问题。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。