相當知名的密碼管理器LastPass 在2022 年出現重大安全事故，攻擊者透過LastPass 工程師使用的第三方軟體的舊版中的漏洞發動攻擊，最終竊取了關鍵憑證並進入了LastPass 伺服器竊取了大量數據，這起安全事故實際上到現在也沒有完結。

從今天開始LastPass 會在軟體主介面中彈出通知，要求用戶更新主密碼，原本LastPass 主密碼最少為8 位，現在要求用戶更新為至少12 位、必須包含一個特殊字元、一個數字、一個大寫字母。

滿足要求的密碼雖然長度還是不算長，不過複雜度已經提升了不少，可以應對常規的暴力破解，確保用戶的主密碼不會因為暴力破解而洩露。

LastPass 的安全加密機制也是透過主密碼對資料進行保護，在安全事故中LastPass 洩露超過3,000 萬名用戶的資料庫，包含各類密碼和其他敏感數據，這部分數據目前可能仍在暗網中流傳，但除非駭客能破解用戶主密碼，否則資料也無法解密。

這也是為什麼使用密碼管理器一定要使用高強度的複雜密碼，同時這個密碼一定不能在其他網站或應用程式中使用，避免因為其他網站或應用程式被駭導致主密碼外洩、被駭客撞庫。

如果可以的話，建議使用者使用長度為16 位及以上、最好是20 位長度的密碼，裡麵包含字元、數字和大寫字母，相信短時間內這種20 位長度的複雜密碼被暴力破解的可能性不高。

當然如此複雜的密碼最大的問題是用戶需要記住，主要記住了就不是問題，畢竟現在密碼管理器都可以透過PIN、指紋、面容識別來解鎖，並不需要每次使用都輸入密碼。