V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
bigbyto
V2EX  ›  问与答

lastpass 怎么保证数据安全

  •  
  •   bigbyto · 2017-02-16 14:37:02 +08:00 · 2189 次点击
    这是一个创建于 2848 天前的主题,其中的信息可能已经有所发展或是发生改变。

    类似于 lastpass 这种软件会在服务端储存密码,虽然有加密,但使用的是可逆的算法。之前 lastpass 也被入侵过,但却没有泄露密码。

    怎样储存 key 才能保证被入侵也不会导致数据泄露?

    15 条回复    2017-02-17 11:38:47 +08:00
    BOYPT
        1
    BOYPT  
       2017-02-16 14:39:08 +08:00
    safe from who?
    vicalloy
        2
    vicalloy  
       2017-02-16 15:04:17 +08:00
    你的密码就是加密的密钥。
    你每次改密码都需要把你的所有密码重新加密一次。
    leafin
        3
    leafin  
       2017-02-16 16:03:57 +08:00   ❤️ 1
    key 就是你的 master password ,这个东西是没有保存在云端的
    nopy
        4
    nopy  
       2017-02-16 16:11:24 +08:00
    应该是把可以解密的密钥分开存储吧,减少同时被攻破的可能性,只有当你需要的时候才去读取。


    @vicalloy
    @leafin
    Lastpass 在你忘记主密码的情况下也是可以解密数据的,可以“忘记密码”试试看。
    winterbells
        5
    winterbells  
       2017-02-16 16:32:20 +08:00 via Android
    @nopy 忘记密码只能重置账户了,所有数据都没了
    如果不需要密码就能读取还能说安全吗
    tghgffdgd
        6
    tghgffdgd  
       2017-02-16 16:36:36 +08:00   ❤️ 1
    @nopy 看帮助介绍,那个忘记密码,一个是发送给你你自己设置的密码提示信息给你,如果你还想不起来的话是要账号恢复是把数据还原到之前的设置的密码,也就是旧数据,如果这个密码你也不知道就跟你的数据说 byebye 了
    kikyous
        7
    kikyous  
       2017-02-16 16:39:43 +08:00
    lastpass 最近的升级感觉更好用了
    sephinh
        8
    sephinh  
       2017-02-16 16:43:55 +08:00 via Android   ❤️ 1
    @tghgffdgd 确实,刚试过,几年前用了一下最近又想再用,密码忘了,找回密码,只是给你自己设的密码提示,如果还不知道那就只能给你发个邮件给个链接但只能用你已安装过插件的机器读取数据进行恢复,但是如果你已经没有安装过 lastpass 的机器,那就真拜拜了,我上次用都不知道那台电脑了,早没了,最后没招了开了网页在登录试密码一直密码错误,但插件登录不知道怎么给登上去了,然后才恢复了
    nopy
        9
    nopy  
       2017-02-16 16:50:11 +08:00   ❤️ 1
    @winterbells
    @tghgffdgd
    又看了一下,如果忘记主密码必须要登录过的设备(除移动设备)才能恢复主密码
    https://lastpass.com/support.php?cmd=showfaq&id=375

    也就是说, LastPass 会在每一个登录过得设备(除移动设备)上生成一个"local One Time Password",通过这个也能解密数据。

    以前的确有一次忘记主密码,然后就恢复了数据,一直以为不是用主密码加密的……
    bigbyto
        10
    bigbyto  
    OP
       2017-02-16 16:59:04 +08:00
    @all
    谢谢大家的回答,大概知道用什么方案去实现了。
    bigpigeon
        11
    bigpigeon  
       2017-02-16 19:35:25 +08:00
    加盐慢 hash,即使服务器呗入侵,也只能拿到一堆无用的加密字符,因为慢 hash 的关系,彩虹表也不顶用
    wske
        12
    wske  
       2017-02-16 19:40:48 +08:00
    看了一下,我已经用了整整六年 lastpass premium 服务了,还会继续用下去。。
    但是重要的数据也有用 Keypass 备份。
    msg7086
        13
    msg7086  
       2017-02-17 00:35:23 +08:00
    「虽然有加密,但使用的是可逆的算法」

    你一定是在逗我。
    bigbyto
        14
    bigbyto  
    OP
       2017-02-17 01:13:41 +08:00
    @bigpigeon hash+salt 当然是最安全的加密方式,不过 hash 是不可逆的,现实的需求是需要还原原本的密码。看来安全的做法也只能把用户的密码作为 key 再对用户的密码做加密处理。
    SpicyCat
        15
    SpicyCat  
       2017-02-17 11:38:47 +08:00
    密码安全也要分级。一般网站的密码,跟钱无关的密码,用 lastpass. 银行密码,支付宝交易密码啥的,能自己记就自己记,就算用密码管理器也用 keepass 之类离线的开源的管理器。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4080 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:19 · PVG 18:19 · LAX 02:19 · JFK 05:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.