V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kinghenry
V2EX  ›  分享发现

lastpass 报严重安全漏洞

  •  1
     
  •   kinghenry · 2014-07-15 20:57:44 +08:00 · 6872 次点击
    这是一个创建于 3790 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://solidot.org.feedsportal.com/c/33236/f/556826/s/3c826362/sc/17/l/0L0Ssolidot0Borg0Cstory0Dsid0F40A342/story01.htm

    看来基于网页的密码管理器是不能再用了。难怪最近可惜申请半年免费
    35 条回复    2014-07-16 19:48:15 +08:00
    daiv
        1
    daiv  
       2014-07-15 21:09:18 +08:00
    Keepass 用起来觉得很不方便呀。。。
    Daniel65536
        2
    Daniel65536  
       2014-07-15 21:24:18 +08:00
    也就是说1Password又要打折了咯?
    andybest
        3
    andybest  
       2014-07-15 21:25:00 +08:00
    不是说已经修正了吗
    kinghenry
        4
    kinghenry  
    OP
       2014-07-15 21:26:50 +08:00
    @andybest 这个是修正了,但还有多少是没修正的?
    mintist
        5
    mintist  
       2014-07-15 21:38:19 +08:00
    @kinghenry 搞得有绝对安全的似得
    Tink
        6
    Tink  
       2014-07-15 21:39:37 +08:00
    @kinghenry 全用脑子记也有漏洞的
    AlanZhang
        7
    AlanZhang  
       2014-07-15 21:51:36 +08:00 via iPhone
    @Daniel65536 1password保存的数据由自己控制,没什么好怕的。
    ScotGu
        8
    ScotGu  
       2014-07-15 21:52:35 +08:00
    自己的私密帐号和密码为什么要保存到第三方服务器呢。。。
    kinghenry
        9
    kinghenry  
    OP
       2014-07-15 21:53:44 +08:00
    @ScotGu 没有绝对安全,但安全和不安全之间,还是有区别的,我就不信你完全不在乎
    GhostFlying
        10
    GhostFlying  
       2014-07-15 22:04:54 +08:00
    还是继续用我的 domain+fixed key的方法= =
    ScotGu
        11
    ScotGu  
       2014-07-15 22:05:16 +08:00
    @kinghenry 要说不在乎是不可能的。
    比如我把照片存在网盘,但是不想让“某些”人随便看,所以我就打包加密上传,
    其实我相信“某些”人 有能力破开密码审阅,那么做只是图个心里舒服。

    密码也是一样,直接存在云端总感觉被赤裸裸的窥视,
    所以我现在在用keepass ~
    vivianalive
        12
    vivianalive  
       2014-07-15 22:14:42 +08:00
    考虑转Keepass或者1pass了......
    yfdyh000
        13
    yfdyh000  
       2014-07-15 22:41:34 +08:00
    daiv
        14
    daiv  
       2014-07-15 22:48:55 +08:00
    @vivianalive @ScotGu keepass 总感觉不太会用,而且没有 lastpass roboform好用?
    是我不会用?
    Nin
        15
    Nin  
       2014-07-15 22:53:35 +08:00
    @daiv Keepass+KeeFox 妥妥足够应付浏览器了,另外Keepass还能管理本地程序自动填表,所以我喜欢。
    imrei
        16
    imrei  
       2014-07-15 22:59:10 +08:00
    我比较喜欢keepass和onepassword,但考虑到iCloud的方便性,我最终还是选择了keepass,但安全性方面还是keepass厉害
    hahastudio
        17
    hahastudio  
       2014-07-15 23:10:53 +08:00
    所以,还是要锻炼记忆力= =
    主要的服务我都强密码且不重复= =
    多敲几遍就能记住= =

    当然,有时候也记混= =
    lm902
        18
    lm902  
       2014-07-15 23:29:19 +08:00 via iPhone
    用Enpaas的表示毫无压力
    est
        19
    est  
       2014-07-15 23:40:19 +08:00   ❤️ 1
    估计漏洞就是伪造 dns 伪造 form,勾引lastpass来填表。
    Daniel65536
        20
    Daniel65536  
       2014-07-16 00:11:46 +08:00
    @AlanZhang 我的意思是上次SSL Heart Bleed期间,1P 50% off,理由是为了用户的密码安全,特意降价促销。
    这次LP跪了,1P当然会乘火打劫,估计还会来次50% off
    zzColin
        21
    zzColin  
       2014-07-16 00:13:23 +08:00
    @est 自从 n 年前第一次看到自动填表功能以来我就一直对它完全不信任
    jinghli
        22
    jinghli  
       2014-07-16 00:53:26 +08:00
    disable autofill
    aku
        23
    aku  
       2014-07-16 01:02:33 +08:00
    @est 如果只是这样
    那禁止自动填写、自动登录就好了

    以前有一次在一个网站上,lastpass提示我网站要163的登录信息
    不允许后还是提示
    吓坏了,于是禁止自动填写和自动登录
    同时,从上面也可以看出,lastpass大概还是有一些防范措施的
    kennylx
        24
    kennylx  
       2014-07-16 01:02:39 +08:00
    @daiv 我以前也用lastpass 然后偶然机会改用keepass后觉得这个只要设置好了之后也很一用 chrome下有ChromeIPass插件,火狐下有Keefox,手机也可以用,数据库平时备份一份到dropbox里面 用绿色版的放在U盘里,现在我都记不住绝大多数密码了
    cquzc
        25
    cquzc  
       2014-07-16 01:21:14 +08:00
    已经转投1password了,配合dropbox同步也一样很方便
    zwl2828
        26
    zwl2828  
       2014-07-16 06:50:23 +08:00
    iCloud Keychain.
    lsmgeb89
        27
    lsmgeb89  
       2014-07-16 08:12:07 +08:00
    自动填表功能不仅不安全,而且体验做的也不好。
    furion
        28
    furion  
       2014-07-16 10:20:37 +08:00
    一直在用。。唉
    se77en
        29
    se77en  
       2014-07-16 12:40:08 +08:00
    @vivianalive 说的就像 keeppass 和 1password 安全似的
    peartail
        30
    peartail  
       2014-07-16 12:43:52 +08:00
    Mac 用户或早或晚都要买 1Password 的,不信你等着~

    所以早买早受益,软件有不存在折旧问题。
    peartail
        31
    peartail  
       2014-07-16 12:44:51 +08:00
    @se77en 本来就比 Lastpass 安全很多。
    daiv
        32
    daiv  
       2014-07-16 14:38:34 +08:00
    @imrei 请问 chromeIPass 有保存快捷键吗?
    devnull
        33
    devnull  
       2014-07-16 18:47:49 +08:00
    推荐Pass (http://www.passwordstore.org),缺点是移动端支持不好。
    devnull
        34
    devnull  
       2014-07-16 18:50:42 +08:00
    后面的字都被放到链接里了。。重发一遍: http://www.passwordstore.org
    GPU
        35
    GPU  
       2014-07-16 19:48:15 +08:00
    已转1Password 多时
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2828 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 07:33 · PVG 15:33 · LAX 23:33 · JFK 02:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.