从 LastPass 的浏览器插件竟然可以直接拿到主密码

默认是不勾选记住主密码的，而且我记得以前勾选这个选项会有严重的警告，但是现在测试好像没有警告了

那个记住密码的勾从来都不打，要不然如何体现last pass这个名字

其实最让我吃惊的是，登录后默认可以复制任意站点的密码不需要输入主密码，设置里面可以更改

@phyng 貌似 Firefox、安卓客户端都有提示，Chrome 什么的就没有

@sandtears safari/chrome 都没有

这很正常啊，有什么问题吗？

不要让它记住密码不叫好了。

审查元素能看到密码这是再正常不过的了。

不过如果能在显示密码前强制你再输入一遍密码就比较安全了。

@jsonline

我觉得问题在于，不应该提供记住密码的服务，这明显跟他自己的宣传标语相违背嘛。当然啦，审查元素能看到密码，这我知道。

在显示密码前再输入一次密码，嗯这可能是个折中的方案，因为既要保证使用方便，又要保证安全。那搞个特殊的 token 或者 hash 值如何？这样就本地就没有保存密码，但是又可以直接登入了。

- -。lastpass可以设置两步验证，还有其它一堆辅助验证的东西。

@abcdabcd987 你本地不存明文密码是无法登录那些网站的。 LastPass 的推荐用法是：
自己不要再想密码了，全部采用 LastPass 生成的乱码作为密码。
只记住主密码。

这样就算你密码丢了，也影响不大。

主要的坑在于它这套做法在手机上太不方便了。

这种情况本地来说还算正常，不过最好像mega.co.nz那样利用local storage和js aes保存比较安全。。。

LastPass 本来也是把 Vault 缓存在本地的，如果浏览器安全都不能保障，那么 LastPass 就没有任何安全性可言，就算看不到 Master Password 也能直接把 Vault 给 dump 了。

还有最近有利用webrtc拿到内网信息的大exploit，不用在线电话的最好都装下这个chrome插件。

https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm?hl=en-US

@edgar 感谢告知，我是新用户，还没仔细看过。


@jsonline 呃，我说的不是其他网站的密码，我是说主密码。自动登入功能通过记住一个特殊的字符串来实现，而不是记住用户名、密码。不知可行否？

（当然，及时锁屏当然是上上策）

@abcdabcd987 LastPass 有提供自动退出功能，你可以设置空闲10分钟就自动退出登录。

这完全看不出有什么问题，每个人对安全和便利性的理解和要求都不一样，软件没有必要剥夺用户的选择权。如果你用的是自己的电脑，并且基本上只有你自己才会接触的，有必要给自己设置这么多屏障吗？

在公用电脑上还点击记住主密码的，那就是逗比行为，况且人家默认也没让你选中啊。我的建议是，位置比较安全的电脑，可以选择一直记住主密码（实际上就依赖你的电脑的keychain安全性了）；退而其次的，可以选择每次浏览器启动时提示；至于10分钟就自动忘记的，你不嫌麻烦也可以这么干

两步验证

@abcdabcd987 不行。很多软件的自动登入功能并不记住主密码，而是记住一个类似cookie的东西，从而并不明文存储你的主密码。但实际上，其安全性并不比记住主密码强多少：攻击者依然只需要传输这个cookie就可以登入该软件。对攻击者来说，相比记住密码，记住cookie唯一的不便是，无法直接在登入界面输入密码就登入该软件。

lastpass的所有信息都是由你的主密码直接加密，从而解密也必须要使用到主密码。因此，自动登入必须存储主密码。