发现 LastPass 是个坑

2022-08-28 13:59:41 +08:00
 lingaolc

原因:

  1. 两周前数据泄漏,源代码被盗,翻了下历史,这不是 LastPass 第一次出现安全问题了;
  2. 大概也是两周前,部分用户遇到无法取消自动续费、无法删除账号的问题。其中无法取消自动续费的问题,两周前已经有用户在官方论坛报告了,官方到现在仍未解决;
  3. 官方没有邮件客服,而电话客服不支持用户使用+86 手机号码接听,因此需要客服人工帮助时会比较麻烦。
7878 次点击
所在节点    分享发现
69 条回复
zzzmode
2022-08-28 17:47:47 +08:00
早已注销换 vaultwarden 了
gdgoldlion
2022-08-28 19:37:36 +08:00
Chrome 用户,用 Chrome 存密码,电脑手机都可以用,iOS 也可以直接调用 Chrome 密码。目前未发现问题
dcsuibian
2022-08-28 19:44:24 +08:00
@lingaolc 那就 KeePass+坚果云 webdav ,审查也不会审查这种东西
bigwhite1
2022-08-28 20:08:22 +08:00
好吧,这就去把 lastpass 给注销了。其实 lastpass 用着还行,没中文、只能一个设备用对我都没啥影响,但是存在密码泄漏风险这个问题不能忍。可惜我这不也不是程序员不会自建,搞不动 1#说的咋弄,算了,不重要的密码就保存在浏览器上,重要的密码都自己手输吧。。。
Tyuans
2022-08-28 20:29:55 +08:00
还好我删号删的早
liuzhaowei55
2022-08-28 20:38:05 +08:00
正在把 1pass 转 keepass
nyxsonsleep
2022-08-28 20:47:29 +08:00
@gdgoldlion 明文存密码,这就脱离了密码安全的范畴吧。
24
2022-08-28 20:47:44 +08:00
@F798 我的方案是 keepass 密码+文件 key ,坚果云同步密码库,文件 key 从未进过公网,请教这方案有啥漏洞吗,除非电脑中毒文件 key 被搞走+记录了我的密码库密码,否则我真不知道还有啥能破我密码库。
24
2022-08-28 20:49:11 +08:00
@24 不是挑衅,主要是想知道有没有什么安全弊端好改进我的方案。这个我感觉是在安全跟方便中折中的比较好的选择,加硬件 key 感觉太麻烦了。
mosliu
2022-08-28 21:03:33 +08:00
vaultwarden +1
nyxsonsleep
2022-08-28 21:08:05 +08:00
楼上大把不懂装懂。泄漏的也是加密数据而已。
举例一个简单的方案,将一个数据库用 aes 加密之后,存储到云端,服务器根本不用存储 key ,因为 key 在用户自己手里。你偷个 aes 加密数据有什么用呢?破解几千万个不同的 key ?还是破解 aes 算法?
试试看 lastpass 能找回密码重置密码吗?恢复账户都麻烦要死。
yunyuyuan
2022-08-28 21:36:31 +08:00
@bigwhite1 #24 lastpass 没限制 1 个设备啊,我家里公司都同时在线没问题,免费版的。不过我现在也注销了,换 keepassxc+坚果云了,就是每次都要启动两个软件专门做这事儿,挺麻烦的
lingaolc
2022-08-28 22:13:04 +08:00
@dcsuibian 发现 KeePass 不少人推荐,以前只听说 bitwarden ,我试试 KeePass ,谢啦!
gdgoldlion
2022-08-28 22:49:08 +08:00
@bigwhite1 lp 没有限制设备数,限制的是桌面端移动端二选一,而且只能改三次。为了逼用户充值。

@nyxsonsleep 什么叫明文密码啊,登录网站当然要登录明文,储存时不会存明文。至于本地查看密码,谁家都是解密出来看的。本地想看密码也没那么容易,桌面要过 windows hello ,手机要过 face id 。
clouddd
2022-08-29 00:00:15 +08:00
Elpass 蛮好用的 不过貌似只在苹果生态内用
Lather
2022-08-29 00:01:17 +08:00
這個垃圾我幾年前就不用了。一個有語言歧視的插件,本身功能沒做好收錢比誰都在乎。
itzamana
2022-08-29 00:16:22 +08:00
KeePassXC 挺好用的,UI 也舒服
haikouwang
2022-08-29 00:33:55 +08:00
@lingaolc 弄大厂服务器 定期 snapshot 就没事
guazila
2022-08-29 00:34:36 +08:00
@24 要注意一下输入法软件,比如在安卓端,恶意输入法搞到了系统储存权限和联网权限(默认都是给的),那么你的主密码和密码库都能被获取并传走。
还有就是文件 key 的问题,按你的说法文件 key 没上公网,那就是没有云备份,虽然可能性很小,但是万一所有文件 key 备份全都失效....我的文件 key 是一个 windows 系统文件,只要你安装某个版本的 win 系统,那个文件就肯定在那里。
haikouwang
2022-08-29 00:35:44 +08:00
@F798 就是没人盯上这一点就很安全了啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/875964

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX