V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Nile20
V2EX  ›  分享发现

LastPass 的密码库泄露了,还在用的同学建议尽快采取措施

  •  
  •   Nile20 · 2022-12-23 20:12:57 +08:00 · 4509 次点击
    这是一个创建于 729 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚刚 Chrome Android 给我推了一片博文,提到了 LastPass 的密码库泄露了。我去看了一下 LastPass 的公告

    主要信息:

    • 数据库泄露与 8 月份的发现安全问题有关,攻击者拿到了云存储服务的访问凭证
    • 泄露的数据库包含一些未加密的字段(例如 URL ),也包括加密的字段(用户名和密码)
    • 按照 LastPass 团队的说法,如果主密码安全的话,数据库仍然是安全的

    还在用 LastPass 的同学建议尽快考虑换到别的密码管理器,特别是你的 LastPass 主密码并不是专用的或者强度不够的情况。至少亡羊补牢吧

    (无关吐槽:LastPass 到今天真的是咎由自取。我以前是付费用户,当时只要 1$一个月,还参与过 LastPass 扩展程序的本地化翻译。后面涨价、强制 PC 移动二选一、放弃中文语言支持各种无语操作,最后在今年 5 月的时候因为选项里的隐藏右键菜单功能完全不工作,换到了 BitWarden )

    原文: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

    27 条回复    2024-06-30 19:24:41 +08:00
    tenfly001
        1
    tenfly001  
       2022-12-23 20:23:23 +08:00
    不如直接 1Password
    zjp
        2
    zjp  
       2022-12-23 20:25:35 +08:00
    下午已经删了帐号,原因写的是 data leak...
    删除前导出数据也是很难用
    wikinee
        3
    wikinee  
       2022-12-23 20:28:08 +08:00 via Android
    用了好几年,后来收费了限制移动端,我就转投微软 authenticator ,现在全部上 edge 。国产这边本来想用 360 ,但是他们不支持多端密码同步,嗯…
    Track13
        4
    Track13  
       2022-12-23 20:47:46 +08:00 via Android
    从浏览器拓展删除中文的时候就删除账号了。
    wu67
        5
    wu67  
       2022-12-23 20:51:56 +08:00
    之前我就删号了, 现在不重要的我直接写 csv, 重要的用脑子记同一个复杂密码
    MeteorVIP
        6
    MeteorVIP  
       2022-12-23 20:57:50 +08:00 via iPhone
    我也收到过两次邮件,英文没看懂。原来是秘密泄露了。如果我很懒去搬秘密的话,改主秘密是不是可以解决?
    Nile20
        7
    Nile20  
    OP
       2022-12-23 21:04:27 +08:00   ❤️ 1
    @MeteorVIP 并不能……攻击者拿到了 LastPass 的数据库,你改主密码只能对今后的数据生效。如果此前你的主密码不够安全,比如在别的网站使用过或者是弱密码的话已经无济于事了
    PrinceofInj
        8
    PrinceofInj  
       2022-12-23 21:53:15 +08:00 via Android
    还好我看到八月份的新闻后把 lastpass 上的密码都删了。之前不用好久了,但是一直没删除内容。这下怕是 lastpass 要破产了。
    MeteorVIP
        9
    MeteorVIP  
       2022-12-23 21:59:03 +08:00 via iPhone
    泄露了数据库,但主秘密没有泄露。黑客需要猜到我的主秘密才能解密出我所有的秘密,对吧?
    Nile20
        10
    Nile20  
    OP
       2022-12-23 22:08:02 +08:00   ❤️ 1
    @MeteorVIP 是的
    ixinshang
        11
    ixinshang  
       2022-12-23 22:58:46 +08:00
    感觉这家 都成密码泄露常客了?
    infinityv
        12
    infinityv  
       2022-12-23 23:06:22 +08:00 via iPhone
    明天研究下 bitwarden
    patrickyoung
        13
    patrickyoung  
       2022-12-24 02:08:06 +08:00 via iPhone   ❤️ 2
    但是,你们一定没有上 Twi 看。有圈内相对有威望的人研究了这玩意的本地存储。结论是:密码的元数据( URL 名字,和所谓的 Secured Notes) 都没有加密存储,只有用户名和密码是加密的。懂点社工的可能现在已经意识到问题了。
    patrickyoung
        14
    patrickyoung  
       2022-12-24 02:09:34 +08:00 via iPhone   ❤️ 2
    我重点想提的是: URL 里可能有的 Token/SessionID; Secure Notes 里潜在的 2FA Recovery Code/密保问题答案等等。
    kenpuluma
        15
    kenpuluma  
       2022-12-24 07:53:53 +08:00
    虽然我强烈推荐 bitwarden ,但人家这篇 blog 明显说的是之前那次泄露的调查进展。。可见有多少人不懂英语 /不仔细看内容
    benedict00
        16
    benedict00  
       2022-12-24 08:21:38 +08:00 via Android
    联网的都不如 keepass
    ouou0701
        17
    ouou0701  
       2022-12-24 17:46:21 +08:00
    家用 nas 架设 bitwarden 服务,感觉很好用
    Nile20
        18
    Nile20  
    OP
       2022-12-24 22:17:53 +08:00
    @patrickyoung 我确实没有上 Twitter 看,因为我没有在用了,所以没有特别关注。LastPass 的公告里说 Security Notes 是加密的
    The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data.

    刚刚上 Twitter 看了一下,找到的也是说 Secure Notes 是加密的,你看到的推文能指路个链接么?
    URL 这个确实是问题,URL 也可能包含敏感信息。
    libook
        19
    libook  
       2022-12-26 14:26:53 +08:00
    LastPass 的安全事故都快成月经问题了……到现在还没倒闭也挺命硬的了。
    我也曾经是付费大冤种,后面客户端摆烂之后就全数迁移到自建 Vaultwarden 了。

    LastPass 和很多主流密码库一样都是本地加解密机制,理论上云端服务器上只存储加密后的数据,所以理论上只要主密码不被人撞库就没问题。
    lookStupiToForce
        20
    lookStupiToForce  
       2022-12-26 17:40:44 +08:00
    身为 lastpass 大冤种
    现在还在使用它的唯一原因就是拖延症......
    linuslv
        21
    linuslv  
       2022-12-26 18:01:28 +08:00
    我虽然也是家里 nas 搭了 bitwarden ,但我也还在同时用 lastpass 。。。。感觉我像个。。。。
    ciki
        22
    ciki  
       2022-12-26 19:37:58 +08:00
    前两个月已经删除账号并且迁移到 bitwarden ,主要是受不了每次上线都要重新登陆
    lucacham
        23
    lucacham  
       2022-12-28 10:59:40 +08:00
    记得以前就看过这家的新闻。。。。
    kawaii303
        24
    kawaii303  
       2023-01-05 12:53:35 +08:00
    还是要尽快把密码库里面的密码改了,从重要的先开始。
    MeteorVIP
        25
    MeteorVIP  
       2023-01-22 12:41:35 +08:00
    @libook 为什么主密码不加上谷歌的二次验证码呢?感觉这样更加安全
    libook
        26
    libook  
       2023-01-22 15:24:04 +08:00 via Android   ❤️ 1
    @MeteorVIP 本地加解密方式跟动态密码可能不兼容,因为密文是确定的。动态密码可能更适合登录,而不是给固定密文解密。
    lastpass 的安全事件是密文泄露,绕过了登录环节,动态密码可能根本不起作用。
    lentrody
        27
    lentrody  
       174 天前
    Lastpass 发来邮件提示出现陌生 IP 登录,估计是这次泄露的密码库终于被爆破了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2482 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 03:33 · PVG 11:33 · LAX 19:33 · JFK 22:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.