lastpass 用户电子邮件和主密码提醒被攻破。

今天早上收到 lastpass 的官方邮件，大意是密码数据库是安全的，但是用户电子邮件地址和主密码提醒被泄漏。官方建议用户修改密码提醒。

从去年到今年的三起 lastpass 的安全事故来看，还有人质疑什么吗？

bilok

2015-06-16 11:55:54 +08:00

如果 lp 不说你会知道吗
我觉得错了就错了知错能改才是最重要的

况且就lp自身的加密强度和我主密码强度来说
还好
不过泄漏了邮件地址确实有点我可是专设的一个啊...

LazyZhu

2015-06-16 12:02:35 +08:00

@bilok 当然得公告,如果后期被发现,lastpass直接倒闭,别以为是国内的公司(否认->拖延->借口)

zixincao

2015-06-16 12:12:50 +08:00

刚才已经删除了账户。。。

alphonsez

2015-06-16 12:16:05 +08:00

客户端加密，服务器端没有主密码，如果这些都靠谱的话我觉得还是很安全的。当然，用弱主密码就没得救了。

dawnLuke

2015-06-16 12:19:58 +08:00

其实还是蛮恼火的···是非常方便，但是老是出问题啊。AES加密听说早就不靠谱了

hiboshi

2015-06-16 12:46:39 +08:00

keepass路过，不知道把加密文件放到网盘上面是否真的不会被破解

lsmgeb89

2015-06-16 12:47:26 +08:00

谁叫 Lastpass 插件做的好，方便啊。还好我主密码强。

yylzcom

2015-06-16 12:49:01 +08:00

@hiboshi 弄个高强度主密码加个密钥文件基本就安全了

chenshaoju

2015-06-16 12:54:16 +08:00

@hiboshi 只要密码达到一定长度，非常见密码，以目前的计算能力，破解还是有极大难度的。
KeePass+1

cmlx

2015-06-16 13:03:35 +08:00

@hiboshi 单独的加密文件破解没有意义，还有个主密码在呢

hiboshi

2015-06-16 13:57:19 +08:00

@cmlx
@yylzcom
@chenshaoju
就是怕主密码泄漏的，所有的密码都在，我们公司DBA和运维都是用的这个 keepass

yylzcom

2015-06-16 13:59:33 +08:00

@hiboshi 泄漏了主密码，还有密钥文件呢，不会也让别人拿了去吧？

hiboshi

2015-06-16 14:33:49 +08:00

@yylzcom 这倒不至于，我加个密钥

aliuwr

2015-06-16 14:56:37 +08:00

@yylzcom 一直觉得管理密钥文件非常麻烦，请问你是怎么做的？

snow9312

2015-06-16 15:11:38 +08:00

@aliuwr 存放在Dropbox，Dropbox开启两步验证保证其本身的安全。

blacktulip

2015-06-16 15:17:48 +08:00

反正俺是不明白你们这些花钱把密码存一个小公司服务器上的用户

yylzcom

2015-06-16 16:22:51 +08:00

@aliuwr
1.密码库dropbox同步
2.密钥文件随身带，我用一个小U盘放到钱包。或者想要方便的就选一些公共资源（比如某站的logo，不常变化的那种），但是一定不要让别人知道

aliuwr

2015-06-16 17:20:13 +08:00

@snow9312 如果数据库和密钥文件放一起的话，和单独使用密码有多大区别？
@yylzcom 非常感谢，原来密钥文件可以使用任意文件。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/198906

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.