作为我们安全承诺的一部分，我们定期监控我们的服务，以防止实际的、可疑的或企图恶意的或不寻常的活动。我们最近调查了收到屏蔽访问邮件的用户数量上升的报告，这些邮件通常发送给从不同设备和位置登录的用户。

我们最初的调查结果使我们相信，这些警报是针对试图进行的“凭据填充”活动而触发的，在这种活动中，恶意或不良行为者试图使用从与其他无关服务相关的第三方漏洞中获得的电子邮件地址和密码访问用户帐户(在这种情况下是LastPass)。我们迅速调查了这一活动，目前没有迹象表明任何LastPass账户因这些凭证填充尝试而被未经授权的第三方泄露，也没有发现任何迹象表明用户的LastPass凭证被恶意软件、流氓浏览器扩展或网络钓鱼活动获取。

然而，出于谨慎考虑，我们继续进行调查，以确定是什么原因导致我们的系统触发自动安全警报电子邮件。我们的调查发现，其中一些安全警报可能是错误触发的，这些安全警报被发送给了LastPass用户的有限子集。因此，我们已经调整了我们的安全警报系统，这个问题已经解决。

触发这些警报的原因是LastPass正在努力保护其客户免受不良行为者和凭证填充尝试的影响。同样重要的是要记住，LastPass的零知识安全模型意味着LastPass在任何时候都不会存储、了解或访问用户的主密码。

LastPass如何抵御恶意活动

使用加密的密码管理器，只使用复杂的、唯雷竞技押注图片一的密码(即，避免在不同的网页上重复使用密码)，并辅以多因素身份验证，我们相信，这是防止凭证填充的理想形式之一。

LastPass在构建时考虑到了安全性，包括各种功能，包括失败登录通知、可信设备验证、帐户恢复等等。

• LastPass有相应的机制，可以在发现账户登录失败时向用户发送通知，就像最近报告中提到的那样。这些通知提醒用户由于尝试而阻止或失败的登录尝试使用无效的电子邮件地址和主密码组合登录，否则用户必须通过电子邮件验证验证其设备是否“受信任”。

• 作为安全预防措施，LastPass会定期要求用户重新登录自己的账户，并重新验证他们所信任的设备。如果系统提示您这样做，请使用主密码登录您的LastPass帐户，并检查电子邮件以重新验证您的可信设备。

• 帐户恢复过程旨在防止未经授权或恶意访问。帐户恢复过程特别需要几个步骤，这些步骤旨在确保恢复只能由授权用户/帐户所有者执行，包括要求帐户所有者通过电子邮件或文本接收一次性密码(OTP)，以便在恢复登录流程中输入。一旦OTP收到确认，用户必须在用户之前通过LastPass浏览器扩展成功登录的浏览器或平台上执行恢复过程(例如，在Chrome, Edge, Safari等)。

LastPass还维护了大量的行业标准保护，从各种基础设施级解决方案，如多个web应用程序防火墙，DDoS保护解决方案和恶意请求过滤引擎，到各种应用程序级保护，我们以各种方式限制异常行为。操作和更新这些工具是我们保证用户安全的持续承诺。

创建强主密码

这是非常重要的，你使用一个强大的主密码，永远不要重复使用任何其他网站或应用程序的密码强密码是一个强大的，独特的，足够随机的。对于你需要记住的主密码，我们建议使用一个密码短语，比如一个长句子或一系列单词。如果您或您的最终用户在任何地方重复使用了您的LastPass主密码，我们建议立即更改您的LastPass主密码启用多因素身份验证为了你，也为了你最终用户帐户．

虽然我们的0知识模式虽然LastPass是为了确保你的数据安全而设计的，但对你来说，使用一个强大的、唯一的主密码也同样重要，这不仅有助于保护你免受暴力攻击，而且还有助于确保在其他随机网站的入侵不会影响你的LastPass账户。虽然我们在您创建主密码时强制执行行业标准的最小值(必须至少有12个字符长，至少有一个数字，至少有一个小写字母和一个大写字母)，但LastPass用户应该使主密码尽可能强。具体来说，这意味着主密码应该长且唯一，并混合使用多种字符类型。

密码重复使用的危险

随着人们继续远程工作，花在网上的时间越来越多，人们观察到，针对网页和在线服务的网络攻击和违规行为普遍增加。不幸的是，随着大量数据泄露，数以百万计的用户名和密码可能会在互联网上公开，并容易被企图滥用。攻击者试图利用这些泄露信息的一种已知方式是，系统地尝试登录其他网站，如LastPass，使用从第三方非关联泄露中获得的相同用户名和密码组合。

众所周知，重复使用密码是一种常见的(也是危险的)做法，通常会导致第三方违规，从而产生额外未经授权的帐户访问的次要风险。虽然LastPass可以通过其“密码生成器”和“保存和填充”功能生成安全、唯一和复杂的密码来帮助用户避免这些危险，但我们也建议用户充分利用LastPass的所有安全功能，并使用各种工具、技术和实践来保护他们的帐户和用户名。

LastPass用户可以做什么?

为了确保您的LastPass和其他在线帐户不受不良分子或黑客的侵害，我们建议用户遵循以下在线最佳实践:

• 为您的LastPass帐户使用强大、安全的主密码，并且永远不要透露给任何人。
• 从来没有重复使用多个账户的密码，尤其是LastPass主密码。为每个在线帐户使用不同的、唯一的、适当复杂的密码。
• 我们强烈建议使用LastPass安全仪表板识别保存在您的保险库中的网站，您正在重复使用密码。LastPass可以帮助你用强大、独特和复杂的密码替换这些密码使用我们的密码生成工具．
• 启用暗网监控在安全仪表板中。一旦启动，你就可以放心了，LastPass会为你的账户提供额外的监控。如果通过监控确定帐户存在风险，您将在电子邮件和产品内收到警报。
• 打开多因素身份验证用于LastPass和其他服务，如在线银行、电子邮件、社交媒体等。
• 要注意并认识到企图的常见迹象钓鱼式攻击．不点击来自你不认识的人的链接，或者来自你信任的联系人和公司的链接。
• 运行反病毒、端点保护和/或反恶意软件保护软件，并定期更新您的软件和反病毒签名。
• 对重要数据进行定期备份(本地或云)-备份有助于确保在安全的地方拥有数据的额外副本(即，在失去对定期访问副本的访问权限的情况下)。创建每日、每周、每两周或每两个月的备份是一个很好的“最佳实践”，可以确保所有更改、添加和新文件都得到维护并保持最新。