1
Kahn 2015-06-16 08:15:50 +08:00 1
收到邮件了
Dear LastPass User, We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised. We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords. We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass. Regards, The LastPass Team |
2
ibugeek 2015-06-16 08:20:40 +08:00
幸好没用....
|
3
ChiangDi 2015-06-16 08:23:41 +08:00 3
我一直对这种鸡蛋放到一个篮子里的做法非常不放心
|
4
missdeer 2015-06-16 08:35:17 +08:00
呵呵,密码管理这块真不好做啊
|
5
9hills 2015-06-16 08:37:09 +08:00 via iPhone
邮箱和密码提示泄漏了,加密密码库也泄漏。
但这个又不是第一次,没什么,反正解不开。 |
6
jamesxu 2015-06-16 08:38:38 +08:00
去年也有过一次
|
7
processzzp 2015-06-16 08:46:41 +08:00 via Android
@missdeer 像这种已经做大了的在线密码管理肯定是树大招风了,天知道多少人盯着在。只要成功黑掉一次价值太大了。
然而我用KeePass ( ̄┰ ̄*) |
8
sfz97308 2015-06-16 08:48:20 +08:00
密码放在远端还是不行啊,还是放在本地吧
|
9
wy315700 2015-06-16 08:49:54 +08:00
看1P怎么利用这次机会
|
10
can 2015-06-16 08:50:00 +08:00
密码会被尝试破解,但解开应该没那么快,等解开的时候算法已经变了。被发现的攻击都只能让被攻击方改进的更安全。
攻击方着眼小的话就是拿走部分人的密码,大的话就是分析算法。我觉得不用担心,注重安全的人密码终究会改的,不注重安全的人密码始终不安全。 |
11
paradoxs 2015-06-16 08:51:30 +08:00
没收到这个邮件,我是开启了google二步验证的。。
|
12
hewigovens 2015-06-16 08:54:01 +08:00
刚收到邮件, No encrypted user vault data was taken 这个为什么他们能肯定
|
13
stiekel 2015-06-16 09:03:26 +08:00
LastPass多年用户,一般的网站,都是用它生成密码保存登陆。
|
14
seadir 2015-06-16 09:05:33 +08:00 via iPad
1password会不会再次趁机降价促销呢?拭目以待
|
15
somkanel 2015-06-16 09:08:16 +08:00
为什么我没收到邮件……
|
17
skyline75489 2015-06-16 09:10:29 +08:00
KeePass +1。 LastPass 目标实在太大,有黑客盯着也正常
|
18
crazycen 2015-06-16 09:10:44 +08:00 via Android
我也是lastpass老用户,我倒是不担心,也没什么重要数据,也没什么不雅视频…无利可图也… 光脚的不怕穿鞋的…
|
19
kemikemian 2015-06-16 09:12:26 +08:00
改了密码了已经,吓一跳
|
20
yyfearth 2015-06-16 09:13:10 +08:00
@hewigovens 从运维角度分析 因为存放的服务器不一样
一般情况 分析服务器的log可以知道服务器是否被非法入侵 估计他们发现账户的数据库被入侵了 但是存放密码的服务器没有入侵的迹象 所以可以这么说 虽然也不能100%肯定没问题 但是入侵不留下任何痕迹是非常困难的 |
23
yyfearth 2015-06-16 09:19:35 +08:00
@9hills 我是回复如果“No encrypted user vault data was taken”这句话的成立的情况
|
24
egen 2015-06-16 09:32:33 +08:00
奇怪我也没收到通知邮件
|
26
chenshaoju 2015-06-16 09:35:17 +08:00
云泄漏什么的……
用KeePass的表示自己手动同步密码数据库,脱机备份。 |
27
LazyZhu 2015-06-16 09:38:28 +08:00
@chenshaoju 密匙和密码库分开备份
|
28
wuxiao2522 2015-06-16 09:40:58 +08:00
开了谷歌的二次验证,是不是可以妥妥的了?
|
29
yangtukun1412 2015-06-16 09:45:38 +08:00
一直没敢用,果然出事了
还是花密好点... |
30
moname 2015-06-16 09:45:38 +08:00
@wuxiao2522 同问
|
31
LazyZhu 2015-06-16 09:45:52 +08:00
@wuxiao2522
Frequently Asked Questions: https://blog.lastpass.com/2015/06/lastpass-security-notice.html/ |
32
bruce55 2015-06-16 09:45:56 +08:00 via Android
唉。。改密码改密码
|
33
gauzeehom 2015-06-16 09:52:31 +08:00
@wuxiao2522 同问,这种情况风险大不大?
|
34
likea 2015-06-16 09:57:05 +08:00
“ 您上次更改您的 LastPass 主密码是在 1270 days 前。” 。。
|
35
zixincao 2015-06-16 10:01:19 +08:00
还是本地的靠谱一点
|
36
tony1016 2015-06-16 10:01:48 +08:00
算了,随他去吧
|
37
Havee 2015-06-16 10:11:47 +08:00
密码库没有被泄露,其他的数据,包括电子邮件、密码提示这些,都已被泄露。
这么大的问题,人家没必要扯谎,觉得不安全的,或觉得密码提示容易被破解的,去修改主密码与主密码提示,还觉得不安全的,去将电子邮件也改掉,即可。 |
38
imlonghao 2015-06-16 10:13:58 +08:00 via Android
没事,就算丢了他也解不开我的密码,我也不是有价值的目标
|
40
MonkLuf 2015-06-16 11:21:28 +08:00
我都是直接加密后存放在Evernote里面。。。
|
41
andybest 2015-06-16 11:22:54 +08:00
"To further ensure your security, we are requiring verification by email when logging in from a new device or IP address"
邮箱不丢就不用怕把 |
42
bellchu OP 就等着1passwd降价了 啊哈哈哈
|
43
timothyye 2015-06-16 11:39:35 +08:00
@likea You last changed your LastPass master password 1271 days ago. 看来我比你早注册一天,哈哈
|
45
daiv 2015-06-16 11:50:09 +08:00
keepass 欢迎大家的到来
|
46
wee 2015-06-16 12:23:40 +08:00
好恐怖。。。赶紧看看去
|
47
lsmgeb89 2015-06-16 12:34:48 +08:00
看来主密码也要随机生成,否则还是有点危险的。
|
48
lee015 2015-06-16 13:03:45 +08:00 via Android
keepass生成的lastpass主密码+两步验证。keepass还是是稍不方便,输个密码还要另启程序输密码,不然就只用它了。
|
49
21grams 2015-06-16 13:09:41 +08:00
1password,lastpass 那个比较好啊? 貌似都是收费的?
|
50
halczy 2015-06-16 13:12:18 +08:00
继续支持LP, 1P对Linux无爱.
|
51
xuhaotian 2015-06-16 13:14:42 +08:00 via iPhone
又不是第一次了,只要不公开爆库出来,我还是不介意的,忍忍还能用。
|
52
xuhaotian 2015-06-16 13:15:59 +08:00 via iPhone
@21grams 我用lP,但是请慎重考虑,用惯了太舒服了…无缝化体验…搞得现在出安全问题也不想迁移数据。
|
53
AstroProfundis 2015-06-16 13:36:44 +08:00
上次 lastpass 出问题(貌似是几年前?)的时候改过密码然后加大过加密长度,当时就注意了一下,整个加密过程是在本地完成的,然后把加密后的数据上传服务器,所以目前还是比较放心的
|
54
zhjits 2015-06-16 13:42:13 +08:00
我把 LP 的二次验证手机还原数据了……现在没办法登录
|
55
zhjits 2015-06-16 13:44:10 +08:00
|
57
exit 2015-06-16 14:17:00 +08:00
放在chrome里安全不
|
58
billlee 2015-06-16 14:54:36 +08:00
LastPass 的数据是用主密钥在本地加密后再上传的,只要主密钥强度足够,保存的数据应该没有问题。
根据 https://blog.lastpass.com/zh/2015/06/lastpass-security-notice.html 的说法,"that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised." 觉得自己的主密钥不安全的,去改主密钥和密码提示。 |
62
9hills 2015-06-16 15:37:09 +08:00 via iPhone
@ytf4425 主密钥就是登陆密码。所有数据都是通过主密钥进行对称加密的。所以就算数据丢了,也不用担心
|
64
hpyhacking 2015-06-16 16:28:23 +08:00
竟然服务器来同步加密文件......
|
65
lsmgeb89 2015-06-16 17:53:30 +08:00
|
66
xlrtx 2015-06-16 17:59:36 +08:00
请问lastpass会记录用户保存的网站密码明文么, 或者是加密后的明文, 但是解密密钥在服务器.
感觉要为了安全起见的话, 用户网站密码应该是加密过的, 并且密钥只有用户有, 服务器不会保存用户网站密码加密后的密钥. 加密网站密码的密钥可以是用户的masterpassword. Master Pass +-------+-------------+------------------------------+ | uname | master_salt | md5(master_salt, masterpass) | +-------+-------------+------------------------------+ User Pass List +-----+----------------------------------------+ | url | enc(website, md5(passlist_salt, pass)) | +-----+----------------------------------------+ 登录的时候发送masterpass 给服务器, 服务器用masterpass+master_salt验证, 之后吧passlist_salt发送给用户, 用户获取密码的时候, 就可以直接用服务器发给他的enc(website, md5(passlist_salt, pass))解密了.. 只是随便一想, 请勿judge |
67
maxsec 2015-06-16 18:10:42 +08:00
一直用keychain.
|
68
xlrtx 2015-06-16 18:16:23 +08:00
|
69
bellchu OP 如果把-请求访问密码时的Time作为一个var去加密masterpass和数据,然后再上传服务器的话会不会更安全一点。
上传的时候在本地保存一个 lastClientAccessTime,在服务器端也生成一个lastServerAccessTime。 当用户需要从服务器下载数据到本地时也需要本地的lastAccessTime去match服务器上数据的lastAccessTime才可以下载。 配合公钥私钥,应该会比较放心。 当用户需要从一个新设备上获取并同步服务器数据的时候,需要手机,邮件等验证方式才可获取lastAccessTime和数据,类似于忘记密码的恢复机制。 |
70
feikaras 2015-06-16 19:39:51 +08:00
一直只用iCloud keychain
|
71
billlee 2015-06-16 20:22:12 +08:00 1
|
72
bellchu OP @billlee 多台设备的,其中没有最新数据的设备会被Server push一个lastAccessTime的微小的文件(或Push一个lastAccessTime的特征到主数据),用类似ActiveSync或BES的方式去管理设备间数据的同步。
|
73
fulvaz 2015-06-17 00:13:17 +08:00
md5 + salt可以防破,来辩我
|
75
fetich 2015-06-17 01:21:10 +08:00
貌似没强制我改密码。LastPass已经开启二步验证加地区限制,应当不会有问题了。
|
76
webjin 2015-06-17 01:34:01 +08:00 via Android
这是1P对LP的一次有预谋的入侵。
|
78
0x17e 2015-06-17 05:58:07 +08:00 via iPhone
1P 貌似降价了,真巧刚买好就降价😂
|
79
Haiwx 2015-06-17 06:04:17 +08:00 via Android
人脑才是王道。
|
80
j717273419 2015-06-17 11:20:20 +08:00
lastpass security notice https://blog.lastpass.com/2015/06/lastpass-security-notice.html/
|
81
YAFEIML 2015-06-17 13:45:31 +08:00
黑就黑了吧,反正没啥主贵东西,主贵的都要短信,别BB短信也不安全,有被补卡风险,没有什么是绝对安全的。
|