新闻来源: https://www.theverge.com/2022/11/30/23486902/lastpass-hackers-customer-information-breach
当然,据他们的说辞,泄漏的是部分用户的关键信息,用户的密码信息依然是安全的。
1
liuzhaowei55 2022-12-02 10:58:46 +08:00 via iPhone 6
他们说的是只要用户确认自己的主密码是安全的,那信息就是安全的。
翻译过来就是:我把你的保险库弄丢了,但只要你的钥匙不丢,它们就是安全的。 |
2
ccccqqq 2022-12-02 11:01:41 +08:00
一直觉得 1Password 没有 LastPass 好用,本来还想 1P 到期后换过去...
|
3
likunyan 2022-12-02 11:06:38 +08:00
密码还是手抄安全。。。
|
4
totoro625 2022-12-02 11:15:03 +08:00 1
|
5
fawkes 2022-12-02 11:19:43 +08:00 1
这些在线密码管理器都存在风险
所以我用 keepass ,只存本地 |
6
MindMindMax 2022-12-02 11:21:58 +08:00
@fawkes 本地也没法保证安全,可能已经被泄露了自己也不知道的。
|
7
aaasss222 2022-12-02 11:38:49 +08:00
关注
|
8
malagebidi 2022-12-02 11:44:19 +08:00
搬到 1password 几个月了,本来还有一些老的密码存在 lastpass ,想到可能偶尔会查一下,今天完全受不了了,导出所有密码然后删除账户。
|
9
goodryb 2022-12-02 11:51:08 +08:00 1
好早就切换到自建 bitwarden 了, 老是出事谁敢继续用
|
10
dingwen07 2022-12-02 11:54:59 +08:00 via iPhone
LastPass 是怎么做到重置密码的?
|
11
shinession 2022-12-02 11:56:38 +08:00
我是今年从 lastpass 换到 bitwarden 的,lastpass 都脱裤几次了,今天上半年也有一次,实在受不了了
|
12
MeteorVIP 2022-12-02 12:22:41 +08:00 via iPhone
怪不得我收到它发过来的邮件。虽然我看不懂。
|
13
techstay 2022-12-02 12:25:59 +08:00
好吧,虽然我一直在用他,看这阵势感觉也该换了,请问一下替代品有啥,1password 收费,bitwarden 没用过不知道咋样,keepassxc 本地的,同步感觉稍微有点麻烦,手机端也有点问题,大家是怎么解决的
|
14
Rookie01 2022-12-02 12:32:49 +08:00
用了自建 Bitwarden 一段时间,感觉除了好多网页不自动弹出保存窗口需要手动添加项目之外都挺好的。
|
15
ZAN0029 2022-12-02 12:36:03 +08:00 via iPhone
最好还是自己建个表格文档管理
|
16
puncsky 2022-12-02 12:40:02 +08:00
@ccccqqq 为什么 1Password 没有 LastPass 好用?我两个都有用但是觉得 1Password 用户体验好;听说 1p 也更安全
|
17
dcsuibian 2022-12-02 12:46:30 +08:00
KeePass 看戏
|
18
ixinshang 2022-12-02 12:51:12 +08:00 2
keepass+坚果云 感觉还行
|
19
skybig 2022-12-02 13:24:38 +08:00 via iPhone
自建 bitwarden ,rclone 每天备份。
|
20
fawkes 2022-12-02 13:56:35 +08:00 1
@MindMindMax 不存在绝对的安全,各人根据自身情况选择。本地,自己 100%掌握,保护措施自己完善,损失自己负责,要我把密码存在无法知根知底的第三方服务器上,没门
|
21
Mutoo 2022-12-02 14:24:51 +08:00
@dingwen07 LastPass 重置只能找回帐号,没法找回 valut 。valut 只能从你登录过的其它设置重新导入。
LastPass 一直“数据泄露”但是竟然没有看到有用户报怨真的丢了密码,也是诡异。 |
22
tony2lord 2022-12-02 14:32:17 +08:00
我也用了 lastpass 好几年了,1Password 也合租过一年但用不惯,今年也开始尝试了 keepass+坚果云 --> bitwarden 官方库,最近也再考虑在白群晖上自建 bitwarden , 话说 1Password 也可以自建吗?
|
23
weeei 2022-12-02 14:33:36 +08:00
1p 买断版本,数据库存在 iCloud 。
安全性这玩意,随它去吧。 泄露就认了。 |
24
lonewolfakela 2022-12-02 14:34:23 +08:00
@Mutoo #21 证明 lastpass 说的只要用户的主密码在用户自己手上没漏出去就不怕是有几分道理的呗
|
25
qbqbqbqb 2022-12-02 14:59:24 +08:00
@MindMindMax 在这个层面上在线的密码管理器其实也一样,因为密码库肯定要拉取到本地缓存,也就是说在线密码管理器从某种意义上来说里面也包含了一个“本地”的。纯本地的密码管理器少一个在线部分的风险点,相比在线的可以说是安全一些。
|
26
hysjw 2022-12-02 15:07:04 +08:00 via iPhone
同 1p 买断版本数据存在 icloud 使用体验还是不错的
|
27
kasusa 2022-12-02 15:23:54 +08:00 1
我觉得用本地的更靠谱一些,比如 keepass ,同步的话就用同步盘。
即使你的同步盘信息泄露了,keepass 文件仍然需要使用你的管理密码才能打开。 |
28
aaa5838769 2022-12-02 15:33:10 +08:00
1p 目前还是很舒服的。
|
29
digimoon 2022-12-02 15:39:48 +08:00
|
30
whileFalse 2022-12-02 16:32:21 +08:00 via iPhone
@liuzhaowei55 没毛病 就是这么设计的
|
31
spadger 2022-12-02 17:15:40 +08:00
密码当然要存在本地
|
32
baleeny 2022-12-02 18:21:28 +08:00
我就用的谷歌浏览器的密码管理器 0.0.。。。
|
33
sinboy1988 2022-12-02 19:04:55 +08:00
@baleeny +1
|
34
mofe 2022-12-02 19:51:09 +08:00
密码这东西还是要靠专业的软件来管理
谷歌的密码管理管不了信用卡,ssh key 之类的东西 |
35
lusi1990 2022-12-02 19:52:32 +08:00 via Android
果然 密码还是忘记了最安全
|
36
acctv2 2022-12-02 20:05:17 +08:00
最安全的还是自建 bitwarden ,VPS 上 docker 开一个就行,资源占用也不太高。
|
37
wdhwg001 2022-12-02 20:14:48 +08:00 1
lastpass 被脱库只是泄露了所有的 vault 。
而如果你用 1password ,然后 vault 在云上贵州,那么你的 vault 本身就是被脱的,如果在 iCloud ,那么你的 iCloud 密码就是 vault 被脱的最后一道防线。 如果你用自建 bitwarden ,那么你的库的安全性同样取决于它被放在哪里。 总之一句话,如果你的 vault 主密码是安全的,那么继续用 lastpass 并没有什么安全问题,因为你的库早晚会被扒,而主密码就是使得你的库被扒了也白扒的坚固防线。 |
38
yushiro 2022-12-02 20:24:49 +08:00 via iPhone 1
@wdhwg001 难得有个思路清晰的回复。
楼上好多回复都是觉得“自己发明的加密方法比公开的更安全”这样的模式 |
39
neoblackcap 2022-12-02 21:38:50 +08:00
@dingwen07 好像是改 master password 就会重算一次
|
40
wdhwg001 2022-12-02 22:24:08 +08:00
@yushiro lastpass 的最大问题在于,如果它最终被攻破,那么一定是通过它的某次投毒自动更新,或者远程网页端登录页被劫持,或者读写 vault 逻辑中的某个代码执行漏洞被发现之后,通过攻陷远端向客户端分发带有触发漏洞的 vault ,导致客户端被劫持。
上述三个问题对于更新迭代非常频繁的 lastpass 和 1password 来说都是不容忽视的,所以推荐不要更新它们过于频繁,推迟几周是比较稳妥的,而拥有第三方服务器端实现的 bitwarden 则相对而言不那么容易受影响。 |
41
herozzm 2022-12-02 22:26:12 +08:00
把资料都保存到云端真的好吗?我还是用 keepass 吧
|
42
awalkingman 2022-12-02 22:27:29 +08:00
@baleeny 我也是。。。感觉足够用了
|
43
zololiu 2022-12-02 22:34:12 +08:00
自建 Bitwarden 三年了, 目前为止还是很香, 推荐一下.
|
44
nazunaniito 2022-12-02 22:45:55 +08:00
用了十几年 lastpass ,从发现它的部分服务器被墙开始就意识到确实比其它几个要安全( ̄▽ ̄)"
|
45
cdlnls 2022-12-02 22:48:44 +08:00
放在互联网上都不太安全,即使是自建的 bitwarden ,服务器安全问题+配置问题都有可能导致丢失。
还是放在本地稳妥。 |
46
wizardyhnr 2022-12-02 23:43:22 +08:00
放云端就是为了多端同步。为了安全自建在家用服务器上也可以,但相当于在自用服务上开了外网访问端口。
我放在 vps 上,磁盘开了 LUKS ,同步备份用 GPG 公钥再加密一遍。vaultwarden 开了 2FA 。想脱裤就要跑到服务商那用 RAM dump 再破解密码。vps 加固挺重要的。 |
47
bigwhite1 2022-12-02 23:43:47 +08:00
已经注销账号了
|
48
lengyuqu 2022-12-02 23:48:25 +08:00
早就自建 bitwarden 了 ,并且早年清空了 lasspass 。
现在连谷歌和 edge 的密码存储我都放弃了。 |
49
stkkm 2022-12-03 15:38:22 +08:00
老老实实用 keepass.
|