从 LastPass 的浏览器插件竟然可以直接拿到主密码

2014-07-12 10:43:02 +08:00
 abcdabcd987
首先感谢 http://www.v2ex.com/t/122254

然后我安装了 LastPass 浏览器插件,在登入框中,竟然看到了“记住密码”这么一个选项。这是在逗我吗?自己官网上说“您需要记住最后一个密码!”,然后竟然最后一个密码还让浏览器帮忙记忆?

这就算了,更囧的是,登入后点登出,随便审查元素一下,密码就出来了。

当时我就零乱了。



8625 次点击
所在节点    分享发现
18 条回复
phyng
2014-07-12 10:49:58 +08:00
默认是不勾选记住主密码的,而且我记得以前勾选这个选项会有严重的警告,但是现在测试好像没有警告了
ghostinthewild
2014-07-12 10:50:10 +08:00
那个记住密码的勾从来都不打,要不然如何体现last pass这个名字
phyng
2014-07-12 10:51:31 +08:00
其实最让我吃惊的是,登录后默认可以复制任意站点的密码不需要输入主密码,设置里面可以更改
sandtears
2014-07-12 10:56:50 +08:00
@phyng 貌似 Firefox、安卓客户端都有提示,Chrome 什么的就没有
abcdabcd987
2014-07-12 11:02:07 +08:00
@sandtears safari/chrome 都没有
jsonline
2014-07-12 11:06:56 +08:00
这很正常啊,有什么问题吗?

不要让它记住密码不叫好了。

审查元素能看到密码这是再正常不过的了。
jsonline
2014-07-12 11:08:23 +08:00
不过如果能在显示密码前强制你再输入一遍密码就比较安全了。
abcdabcd987
2014-07-12 11:14:12 +08:00
@jsonline

我觉得问题在于,不应该提供记住密码的服务,这明显跟他自己的宣传标语相违背嘛。当然啦,审查元素能看到密码,这我知道。

在显示密码前再输入一次密码,嗯这可能是个折中的方案,因为既要保证使用方便,又要保证安全。那搞个特殊的 token 或者 hash 值如何?这样就本地就没有保存密码,但是又可以直接登入了。
edgar
2014-07-12 11:33:39 +08:00
- -。lastpass可以设置两步验证,还有其它一堆辅助验证的东西。
jsonline
2014-07-12 11:34:11 +08:00
@abcdabcd987 你本地不存明文密码是无法登录那些网站的。 LastPass 的推荐用法是:
自己不要再想密码了,全部采用 LastPass 生成的乱码作为密码。
只记住主密码。

这样就算你密码丢了,也影响不大。

主要的坑在于它这套做法在手机上太不方便了。
sdysj
2014-07-12 11:40:44 +08:00
这种情况本地来说还算正常,不过最好像mega.co.nz那样利用local storage和js aes保存比较安全。。。
dndx
2014-07-12 11:44:35 +08:00
LastPass 本来也是把 Vault 缓存在本地的,如果浏览器安全都不能保障,那么 LastPass 就没有任何安全性可言,就算看不到 Master Password 也能直接把 Vault 给 dump 了。
sdysj
2014-07-12 11:44:42 +08:00
还有最近有利用webrtc拿到内网信息的大exploit,不用在线电话的最好都装下这个chrome插件。

https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm?hl=en-US
abcdabcd987
2014-07-12 11:54:20 +08:00
@edgar 感谢告知,我是新用户,还没仔细看过。


@jsonline 呃,我说的不是其他网站的密码,我是说主密码。自动登入功能通过记住一个特殊的字符串来实现,而不是记住用户名、密码。不知可行否?

(当然,及时锁屏当然是上上策)
jsonline
2014-07-12 11:55:36 +08:00
@abcdabcd987 LastPass 有提供自动退出功能,你可以设置空闲10分钟就自动退出登录。
SoloCompany
2014-07-12 12:39:28 +08:00
这完全看不出有什么问题,每个人对安全和便利性的理解和要求都不一样,软件没有必要剥夺用户的选择权。如果你用的是自己的电脑,并且基本上只有你自己才会接触的,有必要给自己设置这么多屏障吗?

在公用电脑上还点击记住主密码的,那就是逗比行为,况且人家默认也没让你选中啊。我的建议是,位置比较安全的电脑,可以选择一直记住主密码(实际上就依赖你的电脑的keychain安全性了);退而其次的,可以选择每次浏览器启动时提示;至于10分钟就自动忘记的,你不嫌麻烦也可以这么干
Tink
2014-07-12 13:44:19 +08:00
两步验证
c742435
2014-07-14 14:20:58 +08:00
@abcdabcd987 不行。很多软件的自动登入功能并不记住主密码,而是记住一个类似cookie的东西,从而并不明文存储你的主密码。但实际上,其安全性并不比记住主密码强多少:攻击者依然只需要传输这个cookie就可以登入该软件。对攻击者来说,相比记住密码,记住cookie唯一的不便是,无法直接在登入界面输入密码就登入该软件。

lastpass的所有信息都是由你的主密码直接加密,从而解密也必须要使用到主密码。因此,自动登入必须存储主密码。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/122269

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX