最近比較大的新聞是關於 LassPass 用戶密碼失竊問題，導致加密資產遺失。

先說一下我個人也是有用 lass pass，但從未放關於機密檔案在上面，譬如 gmail ，銀行帳號密碼 ，幣圈帳號密碼，錢包助記詞都不會，因為本質上 last pass 雖然很厲害的技術，他也是屬於第三方的保護密碼程式，而且這工具已經擺明說他是在掌管密碼，這樣很難不讓駭客針對他做一些行動對吧 ?

這邊教大家一些保護資產的方法適用於各種服務

1. 一定要開手機 & Email 雙向認證

2. 盡可能也開 Google Authenticator

3. 密碼手寫下來，特別是助記詞，然後異地備援

4. 不要把錢放在不知名的地方，假設是幣，建議只放在幣安這個最頂級交易所

5. 釣魚信件其實很多，要記得確認寄件者地址，通常可以看出破綻，去找之前 lastpass 寄給你的系統信，譬如為 xxx@ooo，去看ooo是否都一樣，是要完全一樣喔

6.不要點開任何信件危險檔案，特別是解開是 .exe 檔案

7. 現在的服務都預設開啟，登入會寄信通知你，這是一個不錯的服務，如果發現登入地址不再你所在地就要特別小心，可能要做一些處理

希望能幫到大家~

節錄本次 lassPass 手法如下：

本月13日LastPass接獲用戶通報遭到釣魚信件攻擊，安全廠商Malwarebytes也取得信件樣本進行分析。這波攻擊中，用戶接到貌似LastPass技術支援單位寄來的信件，表示用戶某項功能遭到封鎖，用戶需在9月26日前輸入個資完成身分確認以便重啟該功能。為數不詳的用戶點入信中所附連結連進釣魚網站後，讓駭客取得了個資。

$BTC

#BTC #lastpass