LastPass 又又出现数据泄露了

@dingwen07 LastPass 重置只能找回帐号，没法找回 valut 。valut 只能从你登录过的其它设置重新导入。

LastPass 一直“数据泄露”但是竟然没有看到有用户报怨真的丢了密码，也是诡异。

我也用了 lastpass 好几年了，1Password 也合租过一年但用不惯，今年也开始尝试了 keepass+坚果云 --> bitwarden 官方库，最近也再考虑在白群晖上自建 bitwarden ， 话说 1Password 也可以自建吗？

1p 买断版本，数据库存在 iCloud 。
安全性这玩意，随它去吧。
泄露就认了。

@Mutoo #21 证明 lastpass 说的只要用户的主密码在用户自己手上没漏出去就不怕是有几分道理的呗

@MindMindMax 在这个层面上在线的密码管理器其实也一样，因为密码库肯定要拉取到本地缓存，也就是说在线密码管理器从某种意义上来说里面也包含了一个“本地”的。纯本地的密码管理器少一个在线部分的风险点，相比在线的可以说是安全一些。

同 1p 买断版本数据存在 icloud 使用体验还是不错的

我觉得用本地的更靠谱一些，比如 keepass ，同步的话就用同步盘。
即使你的同步盘信息泄露了，keepass 文件仍然需要使用你的管理密码才能打开。

1p 目前还是很舒服的。

@MindMindMax 除了#25 说的本地本来就有一份的问题外，在线服务商存了大量密码库对黑客来说更有价值

举例子就是一车悍匪不会考虑抢我荷包里的十块钱，肯定是去抢银行金库

@liuzhaowei55 没毛病 就是这么设计的

密码当然要存在本地

我就用的谷歌浏览器的密码管理器 0.0.。。。

@baleeny +1

密码这东西还是要靠专业的软件来管理

谷歌的密码管理管不了信用卡，ssh key 之类的东西

果然 密码还是忘记了最安全

最安全的还是自建 bitwarden ，VPS 上 docker 开一个就行，资源占用也不太高。

lastpass 被脱库只是泄露了所有的 vault 。
而如果你用 1password ，然后 vault 在云上贵州，那么你的 vault 本身就是被脱的，如果在 iCloud ，那么你的 iCloud 密码就是 vault 被脱的最后一道防线。
如果你用自建 bitwarden ，那么你的库的安全性同样取决于它被放在哪里。

总之一句话，如果你的 vault 主密码是安全的，那么继续用 lastpass 并没有什么安全问题，因为你的库早晚会被扒，而主密码就是使得你的库被扒了也白扒的坚固防线。

@wdhwg001 难得有个思路清晰的回复。
楼上好多回复都是觉得“自己发明的加密方法比公开的更安全”这样的模式

@dingwen07 好像是改 master password 就会重算一次

@yushiro lastpass 的最大问题在于，如果它最终被攻破，那么一定是通过它的某次投毒自动更新，或者远程网页端登录页被劫持，或者读写 vault 逻辑中的某个代码执行漏洞被发现之后，通过攻陷远端向客户端分发带有触发漏洞的 vault ，导致客户端被劫持。

上述三个问题对于更新迭代非常频繁的 lastpass 和 1password 来说都是不容忽视的，所以推荐不要更新它们过于频繁，推迟几周是比较稳妥的，而拥有第三方服务器端实现的 bitwarden 则相对而言不那么容易受影响。