作为我们对安全承诺的一部分，我们希望确保我们的客户和公众了解欺诈性SMS帐户恢复请求的LastPass用户最近的报告。我们最近观察到发生的潜在“凭证填充”攻击发生的安全和工程团队。当恶意或糟糕的演员尝试访问用户帐户（例如，在这种情况下，LastPass）使用与其他未分析服务相关的第三方违约所获得的密码来访问用户帐户时，凭证填充攻击是事件。使用加密的密码管理器，仅使用复杂的唯一密码 - 通过多因素认证突然化 - 是对这种类型的攻击的理想保护。

我们希望向您保证，没有迹象表明LastPass或Logmein被违反或妥协。

Lastpass如何防止恶意活动

LastPass是通过安全性建立的，包括各种功能，包括帐户恢复过程，旨在防止未经授权或恶意访问。特定于帐户恢复过程需要若干步骤，旨在确保恢复只能由实际所有者执行，包括客户所有者在恢复登录流期间通过电子邮件或文本收到的一次性密码（OTP）。。一旦确认了OTP收据，用户必须另外在浏览器或平台上执行恢复过程，其中用户先前通过LastPass浏览器扩展（例如，Chrome，Edge，Safari等）成功登录。此过程正在触发，但不能在攻击机上按预期完成。

LastPass还具有许多行业标准保护，来自各种基础设施级别解决方案，例如多个Web应用程序防火墙，DDOS保护解决方案和恶意请求过滤引擎，以各种应用程序级保护，我们以各种方式限制异常行为。操作和保留这些工具最新是我们持续承诺，让我们的用户保持安全。

创建强大的主密码

这是非常重要的，你使用一个强大的主密码，它不应该被用作任何其他网站或应用程序的密码。如果您或您的最终用户在任何地方重复使用您的LastPass主密码，我们建议立即更改您的LastPass主密码和启用多因素身份验证在您的帐户以及您的帐户终端用户的账户。

虽然你受到了许多层数的保护加密和安全保障我们到位，以保持数据安全，使用强大的唯一主密码不仅有助于保护您免受蛮力攻击，而且还要确保在另一个随机网站上违反您的LastPass帐户。虽然我们在创建主密码时强制执行行业标准最低限度（必须至少为12个字符，至少1个数字，至少1个小写和1个大写字母），LastPass用户应尽可能强大。具体来说，这意味着主人

密码应该是长而唯一的，具有字符类型的混合。

密码重复使用的危险

随着世界继续远程工作并在网上花费更多时间，通常会观察到网络攻击和违规行为增加。不幸的是，有了大数据泄漏，有数百万个用户名和密码将在任何人滥用中。攻击者利用这些凭据的最简单方法是系统地尝试登录其他网站，例如LastPass，具有相同的用户名和密码组合。

创建长、强和独特的密码是你使用像LastPass这样的密码管理器的主要原因之一。我们很幸运能成为最流行的密码管理器之一，但这并不意味着我们的服务也可以免于这些尝试。因为重复使用密码是如此常见(虽然很危险)的做法，我们尽一切所能来保护用户。

什么可以ripons用户做？
为了确保您的LastPass和其他在线账户免受坏人或黑客的攻击，我们建议用户遵循以下在线最佳做法:

• 为您从未向任何人披露的LastPass帐户使用强大的安全主密码。
• 绝不重用多个帐户的密码，尤其是您的LastPass主密码。每个在线帐户都使用不同的唯一密码。

• 我们强烈建议使用LastPass安全仪表板识别保存在你的金库的网站，在那里你重复使用密码。LastPass可以帮助您将这些密码替换为强大、唯一的密码使用我们的密码生成器工具。
• 使能够黑暗的网络监控在安全仪表板中。一旦它开启，您可以在知道LastPass为您监控您的帐户安全性时放松身心。如果帐户面临风险，您将在电子邮件和产品中收到警报。
• 打开多因素身份验证为LastPass和其他服务，如您的银行，电子邮件，Twitter, Facebook等。
• 当心网络钓鱼攻击。不点击来自你不认识的人的链接，或者来自你信任的联系人和公司的不符合你性格的链接。
• 运行防病毒、端点保护和/或反恶意软件保护软件，以及定期更新您的软件和反病毒签名。
• 在关键数据的定期备份（本地或云） - 这将在赎金软件攻击和类似的情况下很好地为您服务。如果所有其他人失败，您确实以安全的速度提供数据。为同步/运行备份创建双周或双月习惯以追加任何更改。