虽然官方说已经Block非法闯入,没有数据外泄. 但是我还是觉得数据已经泄露.
This topic created in 3992 days ago, the information mentioned may be changed or developed.
 |
1
Kahn Jun 16, 2015  1
收到邮件了
Dear LastPass User, We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised. We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords. We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass. Regards, The LastPass Team |
 |
2
ibugeek Jun 16, 2015
幸好没用....
|
 |
3
ChiangDi Jun 16, 2015 3
我一直对这种鸡蛋放到一个篮子里的做法非常不放心
|
 |
4
missdeer Jun 16, 2015
呵呵,密码管理这块真不好做啊
|
 |
5
9hills Jun 16, 2015 via iPhone
邮箱和密码提示泄漏了,加密密码库也泄漏。
但这个又不是第一次,没什么,反正解不开。 |
 |
6
jwk345 Jun 16, 2015
去年也有过一次
|
 |
7
processzzp Jun 16, 2015 via Android
@missdeer 像这种已经做大了的在线密码管理肯定是树大招风了,天知道多少人盯着在。只要成功黑掉一次价值太大了。
然而我用KeePass ( ̄┰ ̄*) |
 |
8
sfz97308 Jun 16, 2015
密码放在远端还是不行啊,还是放在本地吧
|
 |
9
wy315700 Jun 16, 2015
看1P怎么利用这次机会
|
 |
10
can Jun 16, 2015
密码会被尝试破解,但解开应该没那么快,等解开的时候算法已经变了。被发现的攻击都只能让被攻击方改进的更安全。
攻击方着眼小的话就是拿走部分人的密码,大的话就是分析算法。我觉得不用担心,注重安全的人密码终究会改的,不注重安全的人密码始终不安全。 |
 |
11
paradoxs Jun 16, 2015
没收到这个邮件,我是开启了google二步验证的。。
|
 |
12
hewigovens Jun 16, 2015
刚收到邮件, No encrypted user vault data was taken 这个为什么他们能肯定
|
 |
13
stiekel Jun 16, 2015
LastPass多年用户,一般的网站,都是用它生成密码保存登陆。
|
 |
14
seadir Jun 16, 2015 via iPad
1password会不会再次趁机降价促销呢?拭目以待
|
 |
15
SolLo PRO 为什么我没收到邮件……
|
 |
17
skyline75489 Jun 16, 2015
KeePass +1。 LastPass 目标实在太大,有黑客盯着也正常
|
 |
18
crazycen Jun 16, 2015 via Android
我也是lastpass老用户,我倒是不担心,也没什么重要数据,也没什么不雅视频…无利可图也… 光脚的不怕穿鞋的…
|
 |
19
kemikemian Jun 16, 2015
改了密码了已经,吓一跳
|
 |
20
yyfearth Jun 16, 2015
@hewigovens 从运维角度分析 因为存放的服务器不一样
一般情况 分析服务器的log可以知道服务器是否被非法入侵 估计他们发现账户的数据库被入侵了 但是存放密码的服务器没有入侵的迹象 所以可以这么说 虽然也不能100%肯定没问题 但是入侵不留下任何痕迹是非常困难的 |
 |
24
egen Jun 16, 2015
奇怪我也没收到通知邮件
|
 |
26
chenshaoju Jun 16, 2015
云泄漏什么的……
用KeePass的表示自己手动同步密码数据库,脱机备份。 |
 |
27
LazyZhu Jun 16, 2015
@chenshaoju 密匙和密码库分开备份
|
 |
28
c0mmand Jun 16, 2015
开了谷歌的二次验证,是不是可以妥妥的了?
|
 |
29
yangtukun1412 Jun 16, 2015
一直没敢用,果然出事了
还是花密好点... |
 |
30
moname Jun 16, 2015
@wuxiao2522 同问
|
|
31
LazyZhu Jun 16, 2015
@wuxiao2522
Frequently Asked Questions: https://blog.lastpass.com/2015/06/lastpass-security-notice.html/ |
 |
32
bruce55 Jun 16, 2015 via Android
唉。。改密码改密码
|
 |
33
gauzeehom Jun 16, 2015
@wuxiao2522 同问,这种情况风险大不大?
|
 |
34
likea Jun 16, 2015
“ 您上次更改您的 LastPass 主密码是在 1270 days 前。” 。。
|
 |
35
zixincao Jun 16, 2015
还是本地的靠谱一点
|
 |
36
tony1016 Jun 16, 2015
算了,随他去吧
|
 |
37
Busy Jun 16, 2015
密码库没有被泄露,其他的数据,包括电子邮件、密码提示这些,都已被泄露。
这么大的问题,人家没必要扯谎,觉得不安全的,或觉得密码提示容易被破解的,去修改主密码与主密码提示,还觉得不安全的,去将电子邮件也改掉,即可。 |
 |
38
imlonghao Jun 16, 2015 via Android
没事,就算丢了他也解不开我的密码,我也不是有价值的目标
|
 |
40
MonkLuf Jun 16, 2015
我都是直接加密后存放在Evernote里面。。。
|
 |
41
andybest Jun 16, 2015
"To further ensure your security, we are requiring verification by email when logging in from a new device or IP address"
邮箱不丢就不用怕把 |
 |
42
bellchu OP 就等着1passwd降价了 啊哈哈哈
|
 |
43
timothyye Jun 16, 2015
@likea You last changed your LastPass master password 1271 days ago. 看来我比你早注册一天,哈哈
|
 |
45
daiv Jun 16, 2015
keepass 欢迎大家的到来
|
 |
46
wee Jun 16, 2015
好恐怖。。。赶紧看看去
|
 |
47
lsmgeb89 Jun 16, 2015
看来主密码也要随机生成,否则还是有点危险的。
|
 |
48
lee015 Jun 16, 2015 via Android
keepass生成的lastpass主密码+两步验证。keepass还是是稍不方便,输个密码还要另启程序输密码,不然就只用它了。
|
 |
49
21grams Jun 16, 2015
1password,lastpass 那个比较好啊? 貌似都是收费的?
|
 |
50
halczy Jun 16, 2015
继续支持LP, 1P对Linux无爱.
|
 |
51
stevenx Jun 16, 2015 via iPhone
又不是第一次了,只要不公开爆库出来,我还是不介意的,忍忍还能用。
|
 |
53
AstroProfundis Jun 16, 2015
上次 lastpass 出问题(貌似是几年前?)的时候改过密码然后加大过加密长度,当时就注意了一下,整个加密过程是在本地完成的,然后把加密后的数据上传服务器,所以目前还是比较放心的
|
 |
54
zhjits Jun 16, 2015
我把 LP 的二次验证手机还原数据了……现在没办法登录
|
|
55
zhjits Jun 16, 2015
 |
 |
57
exit Jun 16, 2015
放在chrome里安全不
|
 |
58
billlee Jun 16, 2015
LastPass 的数据是用主密钥在本地加密后再上传的,只要主密钥强度足够,保存的数据应该没有问题。
根据 https://blog.lastpass.com/zh/2015/06/lastpass-security-notice.html 的说法,"that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised." 觉得自己的主密钥不安全的,去改主密钥和密码提示。 |
 |
64
hpyhacking Jun 16, 2015
竟然服务器来同步加密文件......
|
|
65
lsmgeb89 Jun 16, 2015
|
 |
66
xlrtx Jun 16, 2015
请问lastpass会记录用户保存的网站密码明文么, 或者是加密后的明文, 但是解密密钥在服务器.
感觉要为了安全起见的话, 用户网站密码应该是加密过的, 并且密钥只有用户有, 服务器不会保存用户网站密码加密后的密钥. 加密网站密码的密钥可以是用户的masterpassword. Master Pass +-------+-------------+------------------------------+ | uname | master_salt | md5(master_salt, masterpass) | +-------+-------------+------------------------------+ User Pass List +-----+----------------------------------------+ | url | enc(website, md5(passlist_salt, pass)) | +-----+----------------------------------------+ 登录的时候发送masterpass 给服务器, 服务器用masterpass+master_salt验证, 之后吧passlist_salt发送给用户, 用户获取密码的时候, 就可以直接用服务器发给他的enc(website, md5(passlist_salt, pass))解密了.. 只是随便一想, 请勿judge |
 |
67
maxsec Jun 16, 2015
一直用keychain.
|
|
69
bellchu OP 1
如果把-请求访问密码时的Time作为一个var去加密masterpass和数据,然后再上传服务器的话会不会更安全一点。
上传的时候在本地保存一个 lastClientAccessTime,在服务器端也生成一个lastServerAccessTime。 当用户需要从服务器下载数据到本地时也需要本地的lastAccessTime去match服务器上数据的lastAccessTime才可以下载。 配合公钥私钥,应该会比较放心。 当用户需要从一个新设备上获取并同步服务器数据的时候,需要手机,邮件等验证方式才可获取lastAccessTime和数据,类似于忘记密码的恢复机制。 |
 |
70
feikaras Jun 16, 2015
一直只用iCloud keychain
|
|
71
billlee Jun 16, 2015 1
|
|
72
bellchu OP @billlee 多台设备的,其中没有最新数据的设备会被Server push一个lastAccessTime的微小的文件(或Push一个lastAccessTime的特征到主数据),用类似ActiveSync或BES的方式去管理设备间数据的同步。
|
 |
73
fulvaz Jun 17, 2015
md5 + salt可以防破,来辩我
|
 |
75
fetich Jun 17, 2015
貌似没强制我改密码。LastPass已经开启二步验证加地区限制,应当不会有问题了。
|
 |
76
webjin Jun 17, 2015 via Android
这是1P对LP的一次有预谋的入侵。
|
 |
78
0x17e Jun 17, 2015 via iPhone
1P 貌似降价了,真巧刚买好就降价😂
|
 |
79
Haiwx Jun 17, 2015 via Android
人脑才是王道。
|
 |
80
j717273419 Jun 17, 2015
lastpass security notice https://blog.lastpass.com/2015/06/lastpass-security-notice.html/
|
 |
81
YAFEIML Jun 17, 2015
黑就黑了吧,反正没啥主贵东西,主贵的都要短信,别BB短信也不安全,有被补卡风险,没有什么是绝对安全的。
|
Select Language