颇为知名的密码管理器 LastPass 在 2022 年出现重大安全事故，攻击者通过 LastPass 工程师使用的第三方软件的旧版本中的漏洞发起攻击，最终窃取了关键凭证并进入了 LastPass 服务器盗取了大量数据，这起安全事故实际上到现在也没有完结。

从今天开始 LastPass 会在软件主界面中弹出通知，要求用户更新主密码，原本 LastPass 主密码最少为 8 位，现在要求用户更新为至少 12 位、必须包含一个特殊字符、一个数字、一个大写字母。

满足要求的密码虽然长度还是不算长，不过复杂度已经提升了不少，可以应对常规的暴力破解，确保用户的主密码不会因为暴力破解而泄露。

LastPass 的安全加密机制也是通过主密码对数据进行保护，在安全事故中 LastPass 泄露超过 3,000 万名用户的数据库，包含各类密码和其他敏感数据，这部分数据目前可能仍然在暗网中流传，但除非黑客能破解用户主密码，否则数据也无法解密。

这也是为什么使用密码管理器一定要使用高强度的复杂密码，同时这个密码一定不能在其他网站或应用中使用，避免因为其他网站或应用被黑导致主密码泄露、被黑客撞库。

如果可以的话，建议用户使用长度为 16 位及以上、最好是 20 位长度的密码，里面包含字符、数字和大写字母，相信短时间内这种 20 位长度的复杂密码被暴力破解的可能性不高。

当然如此复杂的密码最大的问题是用户需要记住，主要记住了就不是问题，毕竟现在密码管理器都可以通过 PIN、指纹、面容识别来解锁，并不需要每次使用都输入密码。