V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
inhzus
V2EX  ›  程序员

LastPass 又又出现数据泄露了

  •  
  •   inhzus · 2022-12-02 10:45:41 +08:00 · 8597 次点击
    这是一个创建于 708 天前的主题,其中的信息可能已经有所发展或是发生改变。

    新闻来源: https://www.theverge.com/2022/11/30/23486902/lastpass-hackers-customer-information-breach

    当然,据他们的说辞,泄漏的是部分用户的关键信息,用户的密码信息依然是安全的。

    49 条回复    2022-12-03 15:38:22 +08:00
    liuzhaowei55
        1
    liuzhaowei55  
       2022-12-02 10:58:46 +08:00 via iPhone   ❤️ 6
    他们说的是只要用户确认自己的主密码是安全的,那信息就是安全的。
    翻译过来就是:我把你的保险库弄丢了,但只要你的钥匙不丢,它们就是安全的。
    ccccqqq
        2
    ccccqqq  
       2022-12-02 11:01:41 +08:00
    一直觉得 1Password 没有 LastPass 好用,本来还想 1P 到期后换过去...
    likunyan
        3
    likunyan  
       2022-12-02 11:06:38 +08:00
    密码还是手抄安全。。。
    totoro625
        4
    totoro625  
       2022-12-02 11:15:03 +08:00   ❤️ 1
    @ccccqqq #2 密码保存在别人的服务器上都一样

    你以为爆出来安全问题的服务商不安全,实际上从来没爆出过安全问题的服务商也不安全
    当然,还有一堆被脱裤还说自己没泄露的那种是最不安全的
    fawkes
        5
    fawkes  
       2022-12-02 11:19:43 +08:00   ❤️ 1
    这些在线密码管理器都存在风险
    所以我用 keepass ,只存本地
    MindMindMax
        6
    MindMindMax  
       2022-12-02 11:21:58 +08:00
    @fawkes 本地也没法保证安全,可能已经被泄露了自己也不知道的。
    aaasss222
        7
    aaasss222  
       2022-12-02 11:38:49 +08:00
    关注
    malagebidi
        8
    malagebidi  
       2022-12-02 11:44:19 +08:00
    搬到 1password 几个月了,本来还有一些老的密码存在 lastpass ,想到可能偶尔会查一下,今天完全受不了了,导出所有密码然后删除账户。
    goodryb
        9
    goodryb  
       2022-12-02 11:51:08 +08:00   ❤️ 1
    好早就切换到自建 bitwarden 了, 老是出事谁敢继续用
    dingwen07
        10
    dingwen07  
       2022-12-02 11:54:59 +08:00 via iPhone
    LastPass 是怎么做到重置密码的?
    shinession
        11
    shinession  
       2022-12-02 11:56:38 +08:00
    我是今年从 lastpass 换到 bitwarden 的,lastpass 都脱裤几次了,今天上半年也有一次,实在受不了了
    MeteorVIP
        12
    MeteorVIP  
       2022-12-02 12:22:41 +08:00 via iPhone
    怪不得我收到它发过来的邮件。虽然我看不懂。
    techstay
        13
    techstay  
       2022-12-02 12:25:59 +08:00
    好吧,虽然我一直在用他,看这阵势感觉也该换了,请问一下替代品有啥,1password 收费,bitwarden 没用过不知道咋样,keepassxc 本地的,同步感觉稍微有点麻烦,手机端也有点问题,大家是怎么解决的
    Rookie01
        14
    Rookie01  
       2022-12-02 12:32:49 +08:00
    用了自建 Bitwarden 一段时间,感觉除了好多网页不自动弹出保存窗口需要手动添加项目之外都挺好的。
    ZAN0029
        15
    ZAN0029  
       2022-12-02 12:36:03 +08:00 via iPhone
    最好还是自己建个表格文档管理
    puncsky
        16
    puncsky  
       2022-12-02 12:40:02 +08:00
    @ccccqqq 为什么 1Password 没有 LastPass 好用?我两个都有用但是觉得 1Password 用户体验好;听说 1p 也更安全
    dcsuibian
        17
    dcsuibian  
       2022-12-02 12:46:30 +08:00
    KeePass 看戏
    ixinshang
        18
    ixinshang  
       2022-12-02 12:51:12 +08:00   ❤️ 2
    keepass+坚果云 感觉还行
    skybig
        19
    skybig  
       2022-12-02 13:24:38 +08:00 via iPhone
    自建 bitwarden ,rclone 每天备份。
    fawkes
        20
    fawkes  
       2022-12-02 13:56:35 +08:00   ❤️ 1
    @MindMindMax 不存在绝对的安全,各人根据自身情况选择。本地,自己 100%掌握,保护措施自己完善,损失自己负责,要我把密码存在无法知根知底的第三方服务器上,没门
    Mutoo
        21
    Mutoo  
       2022-12-02 14:24:51 +08:00
    @dingwen07 LastPass 重置只能找回帐号,没法找回 valut 。valut 只能从你登录过的其它设置重新导入。

    LastPass 一直“数据泄露”但是竟然没有看到有用户报怨真的丢了密码,也是诡异。
    tony2lord
        22
    tony2lord  
       2022-12-02 14:32:17 +08:00
    我也用了 lastpass 好几年了,1Password 也合租过一年但用不惯,今年也开始尝试了 keepass+坚果云 --> bitwarden 官方库,最近也再考虑在白群晖上自建 bitwarden , 话说 1Password 也可以自建吗?
    weeei
        23
    weeei  
       2022-12-02 14:33:36 +08:00
    1p 买断版本,数据库存在 iCloud 。
    安全性这玩意,随它去吧。
    泄露就认了。
    lonewolfakela
        24
    lonewolfakela  
       2022-12-02 14:34:23 +08:00
    @Mutoo #21 证明 lastpass 说的只要用户的主密码在用户自己手上没漏出去就不怕是有几分道理的呗
    qbqbqbqb
        25
    qbqbqbqb  
       2022-12-02 14:59:24 +08:00
    @MindMindMax 在这个层面上在线的密码管理器其实也一样,因为密码库肯定要拉取到本地缓存,也就是说在线密码管理器从某种意义上来说里面也包含了一个“本地”的。纯本地的密码管理器少一个在线部分的风险点,相比在线的可以说是安全一些。
    hysjw
        26
    hysjw  
       2022-12-02 15:07:04 +08:00 via iPhone
    同 1p 买断版本数据存在 icloud 使用体验还是不错的
    kasusa
        27
    kasusa  
       2022-12-02 15:23:54 +08:00   ❤️ 1
    我觉得用本地的更靠谱一些,比如 keepass ,同步的话就用同步盘。
    即使你的同步盘信息泄露了,keepass 文件仍然需要使用你的管理密码才能打开。
    aaa5838769
        28
    aaa5838769  
       2022-12-02 15:33:10 +08:00
    1p 目前还是很舒服的。
    digimoon
        29
    digimoon  
       2022-12-02 15:39:48 +08:00
    @MindMindMax 除了#25 说的本地本来就有一份的问题外,在线服务商存了大量密码库对黑客来说更有价值

    举例子就是一车悍匪不会考虑抢我荷包里的十块钱,肯定是去抢银行金库
    whileFalse
        30
    whileFalse  
       2022-12-02 16:32:21 +08:00 via iPhone
    @liuzhaowei55 没毛病 就是这么设计的
    spadger
        31
    spadger  
       2022-12-02 17:15:40 +08:00
    密码当然要存在本地
    baleeny
        32
    baleeny  
       2022-12-02 18:21:28 +08:00
    我就用的谷歌浏览器的密码管理器 0.0.。。。
    sinboy1988
        33
    sinboy1988  
       2022-12-02 19:04:55 +08:00
    mofe
        34
    mofe  
       2022-12-02 19:51:09 +08:00
    密码这东西还是要靠专业的软件来管理

    谷歌的密码管理管不了信用卡,ssh key 之类的东西
    lusi1990
        35
    lusi1990  
       2022-12-02 19:52:32 +08:00 via Android
    果然 密码还是忘记了最安全
    acctv2
        36
    acctv2  
       2022-12-02 20:05:17 +08:00
    最安全的还是自建 bitwarden ,VPS 上 docker 开一个就行,资源占用也不太高。
    wdhwg001
        37
    wdhwg001  
       2022-12-02 20:14:48 +08:00   ❤️ 1
    lastpass 被脱库只是泄露了所有的 vault 。
    而如果你用 1password ,然后 vault 在云上贵州,那么你的 vault 本身就是被脱的,如果在 iCloud ,那么你的 iCloud 密码就是 vault 被脱的最后一道防线。
    如果你用自建 bitwarden ,那么你的库的安全性同样取决于它被放在哪里。

    总之一句话,如果你的 vault 主密码是安全的,那么继续用 lastpass 并没有什么安全问题,因为你的库早晚会被扒,而主密码就是使得你的库被扒了也白扒的坚固防线。
    yushiro
        38
    yushiro  
       2022-12-02 20:24:49 +08:00 via iPhone   ❤️ 1
    @wdhwg001 难得有个思路清晰的回复。
    楼上好多回复都是觉得“自己发明的加密方法比公开的更安全”这样的模式
    neoblackcap
        39
    neoblackcap  
       2022-12-02 21:38:50 +08:00
    @dingwen07 好像是改 master password 就会重算一次
    wdhwg001
        40
    wdhwg001  
       2022-12-02 22:24:08 +08:00
    @yushiro lastpass 的最大问题在于,如果它最终被攻破,那么一定是通过它的某次投毒自动更新,或者远程网页端登录页被劫持,或者读写 vault 逻辑中的某个代码执行漏洞被发现之后,通过攻陷远端向客户端分发带有触发漏洞的 vault ,导致客户端被劫持。

    上述三个问题对于更新迭代非常频繁的 lastpass 和 1password 来说都是不容忽视的,所以推荐不要更新它们过于频繁,推迟几周是比较稳妥的,而拥有第三方服务器端实现的 bitwarden 则相对而言不那么容易受影响。
    herozzm
        41
    herozzm  
       2022-12-02 22:26:12 +08:00
    把资料都保存到云端真的好吗?我还是用 keepass 吧
    awalkingman
        42
    awalkingman  
       2022-12-02 22:27:29 +08:00
    @baleeny 我也是。。。感觉足够用了
    zololiu
        43
    zololiu  
       2022-12-02 22:34:12 +08:00
    自建 Bitwarden 三年了, 目前为止还是很香, 推荐一下.
    nazunaniito
        44
    nazunaniito  
       2022-12-02 22:45:55 +08:00
    用了十几年 lastpass ,从发现它的部分服务器被墙开始就意识到确实比其它几个要安全( ̄▽ ̄)"
    cdlnls
        45
    cdlnls  
       2022-12-02 22:48:44 +08:00
    放在互联网上都不太安全,即使是自建的 bitwarden ,服务器安全问题+配置问题都有可能导致丢失。
    还是放在本地稳妥。
    wizardyhnr
        46
    wizardyhnr  
       2022-12-02 23:43:22 +08:00
    放云端就是为了多端同步。为了安全自建在家用服务器上也可以,但相当于在自用服务上开了外网访问端口。
    我放在 vps 上,磁盘开了 LUKS ,同步备份用 GPG 公钥再加密一遍。vaultwarden 开了 2FA 。想脱裤就要跑到服务商那用 RAM dump 再破解密码。vps 加固挺重要的。
    bigwhite1
        47
    bigwhite1  
       2022-12-02 23:43:47 +08:00
    已经注销账号了
    lengyuqu
        48
    lengyuqu  
       2022-12-02 23:48:25 +08:00
    早就自建 bitwarden 了 ,并且早年清空了 lasspass 。

    现在连谷歌和 edge 的密码存储我都放弃了。
    stkkm
        49
    stkkm  
       2022-12-03 15:38:22 +08:00
    老老实实用 keepass.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1128 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 23:34 · PVG 07:34 · LAX 15:34 · JFK 18:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.