LastPass 被黑了 呵呵

@woyao 我两个账号分别在上午和下午收到的邮件。。。说不定等一等就有邮件了

@ytf4425 主密钥就是登陆密码。所有数据都是通过主密钥进行对称加密的。所以就算数据丢了，也不用担心

@9hills 矮油原来就是那玩意儿，刚改

竟然服务器来同步加密文件......

@wuxiao2522 注意保护你用于两步验证的设备。

https://news.ycombinator.com/item?id=8541313

请问lastpass会记录用户保存的网站密码明文么, 或者是加密后的明文, 但是解密密钥在服务器.

感觉要为了安全起见的话, 用户网站密码应该是加密过的, 并且密钥只有用户有, 服务器不会保存用户网站密码加密后的密钥.

加密网站密码的密钥可以是用户的masterpassword.

Master Pass
+-------+-------------+------------------------------+
| uname | master_salt | md5(master_salt, masterpass) |
+-------+-------------+------------------------------+

User Pass List
+-----+----------------------------------------+
| url | enc(website, md5(passlist_salt, pass)) |
+-----+----------------------------------------+
登录的时候发送masterpass 给服务器, 服务器用masterpass+master_salt验证, 之后吧passlist_salt发送给用户, 用户获取密码的时候, 就可以直接用服务器发给他的enc(website, md5(passlist_salt, pass))解密了..

只是随便一想, 请勿judge

一直用keychain.

@xlrtx 第二个表是这样的, 用masterpass加密网站密码.

url enc(websitepass, masterpass)

如果把-请求访问密码时的Time作为一个var去加密masterpass和数据，然后再上传服务器的话会不会更安全一点。

上传的时候在本地保存一个 lastClientAccessTime，在服务器端也生成一个lastServerAccessTime。
当用户需要从服务器下载数据到本地时也需要本地的lastAccessTime去match服务器上数据的lastAccessTime才可以下载。 配合公钥私钥，应该会比较放心。

当用户需要从一个新设备上获取并同步服务器数据的时候，需要手机，邮件等验证方式才可获取lastAccessTime和数据，类似于忘记密码的恢复机制。

一直只用iCloud keychain

@bellchu 你这样验证 lastAccessTime, 那有多台设备的用户怎么办？

@xlrtx LastPass 用主口令通过 PBKDF2 导出密钥，用户保存的口令经过这个密钥加密后才上传。服务器上没有密钥。

@billlee 多台设备的，其中没有最新数据的设备会被Server push一个lastAccessTime的微小的文件（或Push一个lastAccessTime的特征到主数据），用类似ActiveSync或BES的方式去管理设备间数据的同步。

md5 + salt可以防破,来辩我

@fulvaz md5 就不要吹了。。

貌似没强制我改密码。LastPass已经开启二步验证加地区限制，应当不会有问题了。

这是1P对LP的一次有预谋的入侵。

@zhjits 我的也是无法登陆了，密码忘记了。哎

1P 貌似降价了，真巧刚买好就降价😂

人脑才是王道。

lastpass security notice https://blog.lastpass.com/2015/06/lastpass-security-notice.html/