发现 LastPass 是个坑

2022-08-28 13:59:41 +08:00
 lingaolc

原因:

  1. 两周前数据泄漏,源代码被盗,翻了下历史,这不是 LastPass 第一次出现安全问题了;
  2. 大概也是两周前,部分用户遇到无法取消自动续费、无法删除账号的问题。其中无法取消自动续费的问题,两周前已经有用户在官方论坛报告了,官方到现在仍未解决;
  3. 官方没有邮件客服,而电话客服不支持用户使用+86 手机号码接听,因此需要客服人工帮助时会比较麻烦。
7883 次点击
所在节点    分享发现
69 条回复
haikouwang
2022-08-29 00:37:04 +08:00
@emberzhang 对的 这点跟想的跟你一样
Les1ie
2022-08-29 00:37:37 +08:00
听闻 lastpass 又一次出事,前两天赶忙把 lastpass 的账号“彻底”删除了 https://lastpass.com/delete_account.php

用了半年多的解决方案:
Windows/Linux: KeepassXC + 坚果云客户端
Android: Keepass2Android + 坚果云 webdav
IOS: 奇密(付费,12 元)+坚果云 webdav

体验很好,唯一的担心是几个客户端的安全性,毕竟要是遇到个投毒的那我的全部密码和 TOTP 就和盘托出了 :)
zhaogaz
2022-08-29 00:41:46 +08:00
KeePassXC 在用,自己想办法同步一下就行了。。。目前用下来,全平台都 ok ios 有软件也可以 安卓也行
nyxsonsleep
2022-08-29 00:46:56 +08:00
@gdgoldlion
多多少少属于对密码安全毫无概念了。没有公私密钥对,说明肯定不是非对称加密。
那就是对称加密,那么 key 是什么呢?难道是用户密码?但是 chrome 有在任何时候要求输入“主密码”了吗?
还是说 chrome 破解了 windows 用户密码来使用,或者说 windows 有 api 可以提供密码?前者荒谬可笑,后者就是无稽之谈了,如果有这样的 api ,破解 windows 密码明文的工具早就满天飞了。
就提一点,复制用户文件到另一台电脑,的另一个用户下,照样能用。这不是“明文”是什么呢?
chrome 密码就放在一个 sql 数据库立,密钥就在 json 文件里面,输不输用户密码只是一个安慰剂而已。
chrome 开源版本的密码算法写得清清楚楚。前几天还有人在 v2 里发 chrome 明文存密码呢,甚至不知道这已经是 10 年前的老新闻了。
Fixedsys
2022-08-29 01:23:07 +08:00
keepass + 坚果云,无敌!
Ray95
2022-08-29 08:25:20 +08:00
1password 用了 5 年了,已经习惯了,最近换成了家庭版。还有 2 位置,需要的联系 tg:MarioYounger
lingaolc
2022-08-29 08:28:03 +08:00
@Ray95 谢谢!我不需要啦,或许其他 V2exr 会有需要
sampeng
2022-08-29 09:35:59 +08:00
1password 用得比较好,主要是体验方面,这么多非自建的一个能打的都没有。从公布的安全信息来说,就算泄漏也只是泄漏加密的密码。咱们都是研发,哪个脑残的做密码产品的把用户密码保存在服务端?但是。。。凡是有但是,你把源码泄漏了就有点扯了。理论上所有代吗都有漏洞,开源的是有所有人盯着漏洞去快速解决。闭源的被找到路由就要完蛋,这确实是不应该。

反正我不相信我自建的可靠性会比云端的可靠性强,除非付出足够多的成本。低成本的高可用从概率上说都是可以一锅端。

chrome 之类的就不用扯了,本地密码库和本地用明文存文件管理密码没啥太大的本质区别。对有安全要求的,基本没啥意义。
ciki
2022-08-29 09:54:18 +08:00
由于受不了不停的让登录已经转自建了
ccppgo
2022-08-29 10:21:28 +08:00
keepass (密码+密钥) + 坚果云 webdav
zi
2022-08-29 10:51:29 +08:00
bitwarden 挺好用的,已经跟 lasspass 同时用三个月了,基本常用的站都过渡过去了,打算再过三个月把 lasspass 卸掉
gdgoldlion
2022-08-29 11:04:33 +08:00
@nyxsonsleep

说了半天,绕来绕去,原来你在纠结本地加密保存,然而通过 masterkey 解码这种梗

你要那么理解也没问题

玩梗没什么好争论的

》提一点,复制用户文件到另一台电脑,的另一个用户下,照样能用。
简单复制这招早就不行了,本机都要验证 sid ,何况是换机
6i3BMhWCpKaXhqQi
2022-08-29 11:12:57 +08:00
Enpass 可能也是个选项
6i3BMhWCpKaXhqQi
2022-08-29 11:13:32 +08:00
@wolfmei 1password 现在不支持 standalone 的 vault ,一定要放到他的 cloud 上。
journey0ad
2022-08-29 12:43:33 +08:00
用啥密码管理器问题都不大,密钥不上传理论上泄露也破解不了
但别用 chrome 系和 firefox 浏览器自带的记住密码,基本等于明文
https://github.com/moonD4rk/HackBrowserData
nyxsonsleep
2022-08-29 14:02:41 +08:00
@gdgoldlion
对对对,你的本地密码太安全辣。
nyxsonsleep
2022-08-29 14:06:19 +08:00
@gdgoldlion 说话的逻辑就颠三倒四。
“什么叫明文密码啊,登录网站当然要登录明文,储存时不会存明文。至于本地查看密码,谁家都是解密出来看的。”谁说的?被戳穿了又开始自我安慰,原来你还在纠结本地密码。尬中尬。
“本地想看密码也没那么容易” https://github.com/moonD4rk/HackBrowserData ,现成的工具。
tufu9441
2022-08-29 14:13:23 +08:00
用过几年 1Password ,后来不想续费了,索性转到免费的 Bitwarden (非自建)。
libook
2022-08-29 14:49:30 +08:00
LastPass 是个老牌密码管理器,在刚出来的时候,是非常能打的,还支持中文本地化,所以它能积累很多口碑推荐。

但几年前就开始摆烂了,彻底放弃了中文本地化,一堆自动填写的适配问题不改进,还有一堆安全负面报道。

我曾经是 LastPass 的付费用户,后来自动填写几乎不可用的时候,就换了 Bitwarden ,刚好自己也攒了 NAS ,就开始私有化部署,用的是第三方的 Bitwarden-rs ,后来这项目改名成了 Vaultwarden ,用到现在至少三年了吧。

Bitwarden 自建愿意支持官方的话可以用官方的服务端,非自建也可以用官方在线服务。
HOU
2022-08-29 14:51:18 +08:00
Bitwarden 官方 + 导出本地备份,以前折腾自建,现在懒得弄了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/875964

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX