LastPass強制要求用戶必須設定長達12個字元的密碼

為了強化用戶帳號的安全性，密碼管理業者LastPass本周宣布，將強制要求用戶的主密碼（Master Password）都必須至少採用12個字元，且在本月底前就會通知所有用戶。

其實LastPass自2018年以來便以12個字元當作設定主密碼的預設值，但依然允許用戶建立字元數較少的密碼，一直到2023年4月，開始強制要求所有新用戶或是重設主密碼的用戶採用12個字元的密碼，而自今年1月起，將開始要求所有既有用戶都採用12個字元的主密碼。

除了長度最少要達到12個字元之外，LastPass也建議用戶在建立密碼時，應該要夾雜大、小寫，數字或特殊字元，也可採用不容易被猜到的密碼短語，不要採用與其它服務一樣的密碼，也不要使用連續字元或個人資訊。

LastPass表示，密碼強度是一個複雜的概念，其因素包含長度、複雜度及不可預測性，目前美國國家標準與技術研究所（NIST）指南要求使用者所建立的密碼長度最少為8個字元，但有鑑於各種密碼破解技術的最新進展，再加上人們傾向於建立可預測且方便記憶的密碼，因此建議使用者採用更長的密碼。

LastPass服務主要是讓使用者管理所有的密碼，而主密碼更是存取這些密碼的門戶，也讓LastPass持續成為駭客的攻擊目標，涵蓋網釣及憑證填充攻擊。

根據LastPass的規畫，該平臺將先針對免費、高階及家庭用戶發送電子郵件通知，要求他們變更主密碼至12字元以上，繼之才會通知團隊及企業用戶，預計會在今年1月底前完成通知。