发现 LastPass 是个坑

原因：

两周前数据泄漏，源代码被盗，翻了下历史，这不是 LastPass 第一次出现安全问题了；
大概也是两周前，部分用户遇到无法取消自动续费、无法删除账号的问题。其中无法取消自动续费的问题，两周前已经有用户在官方论坛报告了，官方到现在仍未解决；
官方没有邮件客服，而电话客服不支持用户使用+86 手机号码接听，因此需要客服人工帮助时会比较麻烦。

haikouwang

2022-08-29 00:37:04 +08:00

@emberzhang 对的这点跟想的跟你一样

Les1ie

2022-08-29 00:37:37 +08:00

听闻 lastpass 又一次出事，前两天赶忙把 lastpass 的账号“彻底”删除了 https://lastpass.com/delete_account.php

用了半年多的解决方案：
Windows/Linux: KeepassXC + 坚果云客户端
Android: Keepass2Android + 坚果云 webdav
IOS: 奇密（付费，12 元）+坚果云 webdav

体验很好，唯一的担心是几个客户端的安全性，毕竟要是遇到个投毒的那我的全部密码和 TOTP 就和盘托出了 :)

zhaogaz

2022-08-29 00:41:46 +08:00

KeePassXC 在用，自己想办法同步一下就行了。。。目前用下来，全平台都 ok ios 有软件也可以安卓也行

nyxsonsleep

2022-08-29 00:46:56 +08:00

@gdgoldlion
多多少少属于对密码安全毫无概念了。没有公私密钥对，说明肯定不是非对称加密。
那就是对称加密，那么 key 是什么呢？难道是用户密码？但是 chrome 有在任何时候要求输入“主密码”了吗？
还是说 chrome 破解了 windows 用户密码来使用，或者说 windows 有 api 可以提供密码？前者荒谬可笑，后者就是无稽之谈了，如果有这样的 api ，破解 windows 密码明文的工具早就满天飞了。
就提一点，复制用户文件到另一台电脑，的另一个用户下，照样能用。这不是“明文”是什么呢？
chrome 密码就放在一个 sql 数据库立，密钥就在 json 文件里面，输不输用户密码只是一个安慰剂而已。
chrome 开源版本的密码算法写得清清楚楚。前几天还有人在 v2 里发 chrome 明文存密码呢，甚至不知道这已经是 10 年前的老新闻了。

Fixedsys

2022-08-29 01:23:07 +08:00

keepass + 坚果云，无敌！

Ray95

2022-08-29 08:25:20 +08:00

1password 用了 5 年了，已经习惯了，最近换成了家庭版。还有 2 位置，需要的联系 tg：MarioYounger

lingaolc

2022-08-29 08:28:03 +08:00

@Ray95 谢谢！我不需要啦，或许其他 V2exr 会有需要

sampeng

2022-08-29 09:35:59 +08:00

1password 用得比较好，主要是体验方面，这么多非自建的一个能打的都没有。从公布的安全信息来说，就算泄漏也只是泄漏加密的密码。咱们都是研发，哪个脑残的做密码产品的把用户密码保存在服务端？但是。。。凡是有但是，你把源码泄漏了就有点扯了。理论上所有代吗都有漏洞，开源的是有所有人盯着漏洞去快速解决。闭源的被找到路由就要完蛋，这确实是不应该。

反正我不相信我自建的可靠性会比云端的可靠性强，除非付出足够多的成本。低成本的高可用从概率上说都是可以一锅端。

chrome 之类的就不用扯了，本地密码库和本地用明文存文件管理密码没啥太大的本质区别。对有安全要求的，基本没啥意义。

ciki

2022-08-29 09:54:18 +08:00

由于受不了不停的让登录已经转自建了

ccppgo

2022-08-29 10:21:28 +08:00

keepass （密码+密钥） + 坚果云 webdav

2022-08-29 10:51:29 +08:00

bitwarden 挺好用的，已经跟 lasspass 同时用三个月了，基本常用的站都过渡过去了，打算再过三个月把 lasspass 卸掉

gdgoldlion

2022-08-29 11:04:33 +08:00

@nyxsonsleep

说了半天，绕来绕去，原来你在纠结本地加密保存，然而通过 masterkey 解码这种梗

你要那么理解也没问题

玩梗没什么好争论的

》提一点，复制用户文件到另一台电脑，的另一个用户下，照样能用。
简单复制这招早就不行了，本机都要验证 sid ，何况是换机

6i3BMhWCpKaXhqQi

2022-08-29 11:12:57 +08:00

Enpass 可能也是个选项

6i3BMhWCpKaXhqQi

2022-08-29 11:13:32 +08:00

@wolfmei 1password 现在不支持 standalone 的 vault ，一定要放到他的 cloud 上。

journey0ad

2022-08-29 12:43:33 +08:00

用啥密码管理器问题都不大，密钥不上传理论上泄露也破解不了
但别用 chrome 系和 firefox 浏览器自带的记住密码，基本等于明文
https://github.com/moonD4rk/HackBrowserData

nyxsonsleep

2022-08-29 14:02:41 +08:00

@gdgoldlion
对对对，你的本地密码太安全辣。

nyxsonsleep

2022-08-29 14:06:19 +08:00

@gdgoldlion 说话的逻辑就颠三倒四。
“什么叫明文密码啊，登录网站当然要登录明文，储存时不会存明文。至于本地查看密码，谁家都是解密出来看的。”谁说的？被戳穿了又开始自我安慰，原来你还在纠结本地密码。尬中尬。
“本地想看密码也没那么容易” https://github.com/moonD4rk/HackBrowserData ，现成的工具。

tufu9441

2022-08-29 14:13:23 +08:00

用过几年 1Password ，后来不想续费了，索性转到免费的 Bitwarden （非自建）。

libook

2022-08-29 14:49:30 +08:00

LastPass 是个老牌密码管理器，在刚出来的时候，是非常能打的，还支持中文本地化，所以它能积累很多口碑推荐。

但几年前就开始摆烂了，彻底放弃了中文本地化，一堆自动填写的适配问题不改进，还有一堆安全负面报道。

我曾经是 LastPass 的付费用户，后来自动填写几乎不可用的时候，就换了 Bitwarden ，刚好自己也攒了 NAS ，就开始私有化部署，用的是第三方的 Bitwarden-rs ，后来这项目改名成了 Vaultwarden ，用到现在至少三年了吧。

Bitwarden 自建愿意支持官方的话可以用官方的服务端，非自建也可以用官方在线服务。

HOU

2022-08-29 14:51:18 +08:00

Bitwarden 官方 + 导出本地备份，以前折腾自建，现在懒得弄了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/875964

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.