Lastpass 又被爆漏洞是否说明基于游览器的密码管理拓展是不安全?

2017-03-24 17:25:39 +08:00
 aisaaceinstein
“ LastPass ……安全人员发现在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个漏洞,可能会导致用户在使用该组件的过程中泄露密码。这几个漏洞都是谷歌 Project Zero 团队的安全研究人员 Tavis Ormandy 发现的。其中一个漏洞影响到 LastPass 的 Chrome 扩展,另外两个则是针对 Firefox 的。 Ormandy 称该扩展程序上有可利用的内容脚本,允许攻击者从管理器中提取密码,还可以执行受害者设备上的命令。"

LP 最近又被爆出安全漏洞,但是很快就被修复。

1.那么这类软件是否依然安全呢?或者说与离线+网盘 sync 这一种方式相比,哪个更安全呢?

2.还有前段时间的 1p 的问题,影响是什么呢?是不是不用 1p 的服务器同步就可以避免呢?

3.“如果加密文件的主密码足够复杂,那么就不用担心加密文件泄露被破解。”
如果某网站的原始密码足够复杂、足够长(例如 16 位大小写加数字?),那么即使泄露,但是不是明文的,是不是就不用担心被破解呢?

希望专业人士消除这些疑惑。
2985 次点击
所在节点    信息安全
1 条回复
SpicyCat
2017-03-24 18:43:15 +08:00
1. 没有绝对的安全。安全和便利是矛盾的,绝对的安全带来的是绝对的不便利。很多情况下我们需要一个折衷的手段。具体到
Lastpass 和 离线密码管理器+网盘同步这个情况来说,那肯定是后者安全,但是也就没有了 Lastpass 的便利。
2. 不用 1password, 不清楚。
3. 说的是主密码,不是被管理的某网站的密码。 Lastpass
数据库中存的也是加密后的数据,且不可逆。风险在客户端中。

合理的做法是跟钱有关的密码不要用 Lastpass 存储,要么自己记,要么用 Keepass 等离线开源的密码管理器。
Lastpass 的作用更多在于帮你记密码,并且能很容易做到一站一密。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/350089

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX