2024 年是恶意软件攻击频发的一年。 今年到目前为
LastPass 透露,黑客在 2022 年 8 月的一起事件中盗取了客户保险库数据。 在泄露期间,威胁行为者能够复制客户保险库数据的备份。
根据 Ars Technica 的说法,LastPass 保险库密钥(登录和密码)是加密的,但网站 URL 和其他元数据并未加密。 因此,一些被盗信息可能会被用作针对用户的定向攻击。 从源代码泄漏和 Twilio 数据泄露中获得的信息为攻击者提供了侵入存储了客户数据的云基础设施的信息。
相比之下,Keeper 遵守以下条款:
1. Keeper 在本地对用户设备上的所有保险库数据(包括 URL 和元数据)进行加密。 Keeper 的云端不会接收、存储或处理任何明文保险库信息。
2. Keeper 不会将云基础设施访问密钥等密钥存储在源代码中。 我们定期扫描源代码,查找机密信息。
3. Keeper 的源代码虽然保存在 Github Enterprise 中,但并不提供访问用户保险库所需的信息。 数据的加密发生在本地设备级别,大部分源代码发布在我们的公共 Github 仓库中,作为 Keeper 的 Commander 和密钥管理程序产品的一部分。
4. Keeper 不使用第三方提供商,如 2FA 的 Twilio。 Keeper 的供应商没有遭受任何数据泄露。
5. Keeper 不会向任何第三方提供对我们任何 AWS 数据中心的管理权限或访问权限。 所有基础设施的管理都由 Keeper Security 的全职员工执行,这些员工也是位于美国的美国公民。
Keeper 拥有业内最多的安全认证。 Keeper 已通过 SOC2 认证、获得了 FedRamp 授权、获得了 StateRamp 授权和已通过 ISO27001 认证。
如果您对 Keeper 对比 LastPass 有任何疑问,以下是一些资源:
感谢您一直以来使用 Keeper!