V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
lingaolc
V2EX  ›  分享发现

发现 LastPass 是个坑

  •  
  •   lingaolc · 162 天前 · 5937 次点击
    这是一个创建于 162 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原因:

    1. 两周前数据泄漏,源代码被盗,翻了下历史,这不是 LastPass 第一次出现安全问题了;
    2. 大概也是两周前,部分用户遇到无法取消自动续费、无法删除账号的问题。其中无法取消自动续费的问题,两周前已经有用户在官方论坛报告了,官方到现在仍未解决;
    3. 官方没有邮件客服,而电话客服不支持用户使用+86 手机号码接听,因此需要客服人工帮助时会比较麻烦。
    第 1 条附言  ·  161 天前
    根据各位 V2exr 的推荐,和我自己查到的,稍微整理了一下(排名不分先后,可能有错漏):
    一、自建
    1. bitwarden
    2. vaultwarden (一个用 Rust 写的 bitwarden 服务端)
    3. KeePass
    4. KeePassXC
    ( KeePass 相关的还有个 KeePassX )
    二、非自建
    1. 1Password
    2. SafeInCloud
    3. Chrome 自带的密码存储
    4. Dashlane
    第 2 条附言  ·  157 天前
    北京时间 2022 年 9 月 1 日收到 LastPass 的邮件说,之前无法取消自动续费的 bug 已修复,我试了确实可以取消了。

    另外,补充 v2exr 推荐的密码管理 app:
    Enpass
    68 条回复    2022-12-31 12:03:44 +08:00
    nishuoshenme
        1
    nishuoshenme  
       162 天前   ❤️ 6
    换了吧,试试 bitwarden 和 keepass ,一次出现安全问题还说的过去,多次出现就真的没什么好说的了
    Marionic0723
        2
    Marionic0723  
       162 天前 via Android
    lastpass 两步验证不能通过手机号发验证码,但是绑定的时候是可以收到验证码的,还好我有备份软件数据不然真把我锁死了,这东西确实变难用了。
    lingaolc
        3
    lingaolc  
    OP
       162 天前
    @nishuoshenme 嗯嗯,已经换了,LastPass 知名度很靠前,谁知道这么多问题,希望其他人别踩坑吧。
    dcsuibian
        4
    dcsuibian  
       162 天前
    keepass 和 bitwarden 再加一分,不要钱而且数据在自己手里。
    个人目前在用 keepass ,程序员美感,但功能是真的强大。
    lingaolc
        5
    lingaolc  
    OP
       162 天前
    @Marionic0723 这几年用下来,感觉 LastPass 没啥太大的长进,web 管理界面一如既往的不够直观,app 端有些操作步骤依旧不顺手。
    ltkun
        6
    ltkun  
       162 天前 via Android   ❤️ 2
    一切自己的数据上私有云 公有云服务不可靠
    cwcauc
        7
    cwcauc  
       162 天前 via iPhone
    @dcsuibian 浏览器有时无法填充,这个能解决就完美了
    lingaolc
        8
    lingaolc  
    OP
       162 天前
    @dcsuibian 我一直很想自建,但总担心自建的服务器不够稳定,导致丢数据。
    lingaolc
        9
    lingaolc  
    OP
       162 天前
    @ltkun 我的话是不放心公有云的隐私保护,但也会担心私有云不稳定导致丢数据。
    wolfmei
        10
    wolfmei  
       162 天前   ❤️ 1
    一直用 1pass
    F798
        11
    F798  
       162 天前 via iPhone   ❤️ 4
    私有云只会更不可靠,只是没人盯上你而已
    Marionic0723
        12
    Marionic0723  
       162 天前 via Android
    @lingaolc 何止没长进,都开始开倒车了,以前有中文,后来砍了;以前电脑手机双端登录,现在也砍了,还只能三次机会更换,那个验证码的问题是三月份发现的,到现在还没修好,以前就听说被黑了,现在还是,我是不敢用了。
    wu67
        13
    wu67  
       162 天前
    很久之前出现过无法填充密码的问题, 后来填充按钮还各种奇怪的跟各 ui 库的清除输入按钮叠叠乐...然后我就导出密码注销账户了
    Cat7373
        14
    Cat7373  
       162 天前
    @nishuoshenme #1 已感谢,终于找到靠谱的东西换掉 LastPass 了
    yanqing07
        15
    yanqing07  
       162 天前
    这产品收费后就转战了 bitwarden 。而且,lastpass ios 还被墙了,果断放弃。
    uudj
        16
    uudj  
       162 天前 via iPhone
    私有云三个字感觉听起来都不安全。
    supercaizehua
        17
    supercaizehua  
       162 天前 via iPhone
    很早之前就注销了,转 bitwarden 了
    imrei
        18
    imrei  
       162 天前
    在用 KeePassXC ,最近考虑换 MacPass ,bitwarden 有点纠结,毕竟联网直接对接,安全程度还是 keepass 最佳
    emberzhang
        19
    emberzhang  
       162 天前   ❤️ 1
    @F798 不容易被盯上就是一种巨大的安全优势啊。。。要被三体人盯上啥可靠技术都白搭
    securityCoding
        20
    securityCoding  
       162 天前
    试试 safeIncloud
    zzzmode
        21
    zzzmode  
       162 天前
    早已注销换 vaultwarden 了
    gdgoldlion
        22
    gdgoldlion  
       162 天前
    Chrome 用户,用 Chrome 存密码,电脑手机都可以用,iOS 也可以直接调用 Chrome 密码。目前未发现问题
    dcsuibian
        23
    dcsuibian  
       162 天前
    @lingaolc 那就 KeePass+坚果云 webdav ,审查也不会审查这种东西
    bigwhite1
        24
    bigwhite1  
       162 天前
    好吧,这就去把 lastpass 给注销了。其实 lastpass 用着还行,没中文、只能一个设备用对我都没啥影响,但是存在密码泄漏风险这个问题不能忍。可惜我这不也不是程序员不会自建,搞不动 1#说的咋弄,算了,不重要的密码就保存在浏览器上,重要的密码都自己手输吧。。。
    Tyuans
        25
    Tyuans  
       162 天前
    还好我删号删的早
    liuzhaowei55
        26
    liuzhaowei55  
       162 天前 via Android
    正在把 1pass 转 keepass
    nyxsonsleep
        27
    nyxsonsleep  
       162 天前
    @gdgoldlion 明文存密码,这就脱离了密码安全的范畴吧。
    24
        28
    24  
       162 天前 via Android
    @F798 我的方案是 keepass 密码+文件 key ,坚果云同步密码库,文件 key 从未进过公网,请教这方案有啥漏洞吗,除非电脑中毒文件 key 被搞走+记录了我的密码库密码,否则我真不知道还有啥能破我密码库。
    24
        29
    24  
       162 天前 via Android
    @24 不是挑衅,主要是想知道有没有什么安全弊端好改进我的方案。这个我感觉是在安全跟方便中折中的比较好的选择,加硬件 key 感觉太麻烦了。
    mosliu
        30
    mosliu  
       162 天前
    vaultwarden +1
    nyxsonsleep
        31
    nyxsonsleep  
       162 天前
    楼上大把不懂装懂。泄漏的也是加密数据而已。
    举例一个简单的方案,将一个数据库用 aes 加密之后,存储到云端,服务器根本不用存储 key ,因为 key 在用户自己手里。你偷个 aes 加密数据有什么用呢?破解几千万个不同的 key ?还是破解 aes 算法?
    试试看 lastpass 能找回密码重置密码吗?恢复账户都麻烦要死。
    yunyuyuan
        32
    yunyuyuan  
       162 天前
    @bigwhite1 #24 lastpass 没限制 1 个设备啊,我家里公司都同时在线没问题,免费版的。不过我现在也注销了,换 keepassxc+坚果云了,就是每次都要启动两个软件专门做这事儿,挺麻烦的
    lingaolc
        33
    lingaolc  
    OP
       161 天前
    @dcsuibian 发现 KeePass 不少人推荐,以前只听说 bitwarden ,我试试 KeePass ,谢啦!
    gdgoldlion
        34
    gdgoldlion  
       161 天前
    @bigwhite1 lp 没有限制设备数,限制的是桌面端移动端二选一,而且只能改三次。为了逼用户充值。

    @nyxsonsleep 什么叫明文密码啊,登录网站当然要登录明文,储存时不会存明文。至于本地查看密码,谁家都是解密出来看的。本地想看密码也没那么容易,桌面要过 windows hello ,手机要过 face id 。
    clouddd
        35
    clouddd  
       161 天前 via iPhone
    Elpass 蛮好用的 不过貌似只在苹果生态内用
    Lather
        36
    Lather  
       161 天前
    這個垃圾我幾年前就不用了。一個有語言歧視的插件,本身功能沒做好收錢比誰都在乎。
    itzamana
        37
    itzamana  
       161 天前
    KeePassXC 挺好用的,UI 也舒服
    haikouwang
        38
    haikouwang  
       161 天前 via Android
    @lingaolc 弄大厂服务器 定期 snapshot 就没事
    guazila
        39
    guazila  
       161 天前 via Android   ❤️ 2
    @24 要注意一下输入法软件,比如在安卓端,恶意输入法搞到了系统储存权限和联网权限(默认都是给的),那么你的主密码和密码库都能被获取并传走。
    还有就是文件 key 的问题,按你的说法文件 key 没上公网,那就是没有云备份,虽然可能性很小,但是万一所有文件 key 备份全都失效....我的文件 key 是一个 windows 系统文件,只要你安装某个版本的 win 系统,那个文件就肯定在那里。
    haikouwang
        40
    haikouwang  
       161 天前 via Android
    @F798 就是没人盯上这一点就很安全了啊
    haikouwang
        41
    haikouwang  
       161 天前 via Android
    @emberzhang 对的 这点跟想的跟你一样
    Les1ie
        42
    Les1ie  
       161 天前
    听闻 lastpass 又一次出事,前两天赶忙把 lastpass 的账号“彻底”删除了 https://lastpass.com/delete_account.php

    用了半年多的解决方案:
    Windows/Linux: KeepassXC + 坚果云客户端
    Android: Keepass2Android + 坚果云 webdav
    IOS: 奇密(付费,12 元)+坚果云 webdav

    体验很好,唯一的担心是几个客户端的安全性,毕竟要是遇到个投毒的那我的全部密码和 TOTP 就和盘托出了 :)
    zhaogaz
        43
    zhaogaz  
       161 天前
    KeePassXC 在用,自己想办法同步一下就行了。。。目前用下来,全平台都 ok ios 有软件也可以 安卓也行
    nyxsonsleep
        44
    nyxsonsleep  
       161 天前   ❤️ 2
    @gdgoldlion
    多多少少属于对密码安全毫无概念了。没有公私密钥对,说明肯定不是非对称加密。
    那就是对称加密,那么 key 是什么呢?难道是用户密码?但是 chrome 有在任何时候要求输入“主密码”了吗?
    还是说 chrome 破解了 windows 用户密码来使用,或者说 windows 有 api 可以提供密码?前者荒谬可笑,后者就是无稽之谈了,如果有这样的 api ,破解 windows 密码明文的工具早就满天飞了。
    就提一点,复制用户文件到另一台电脑,的另一个用户下,照样能用。这不是“明文”是什么呢?
    chrome 密码就放在一个 sql 数据库立,密钥就在 json 文件里面,输不输用户密码只是一个安慰剂而已。
    chrome 开源版本的密码算法写得清清楚楚。前几天还有人在 v2 里发 chrome 明文存密码呢,甚至不知道这已经是 10 年前的老新闻了。
    Fixedsys
        45
    Fixedsys  
       161 天前
    keepass + 坚果云,无敌!
    Ray95
        46
    Ray95  
       161 天前 via iPhone
    1password 用了 5 年了,已经习惯了,最近换成了家庭版。还有 2 位置,需要的联系 tg:MarioYounger
    lingaolc
        47
    lingaolc  
    OP
       161 天前
    @Ray95 谢谢!我不需要啦,或许其他 V2exr 会有需要
    sampeng
        48
    sampeng  
       161 天前
    1password 用得比较好,主要是体验方面,这么多非自建的一个能打的都没有。从公布的安全信息来说,就算泄漏也只是泄漏加密的密码。咱们都是研发,哪个脑残的做密码产品的把用户密码保存在服务端?但是。。。凡是有但是,你把源码泄漏了就有点扯了。理论上所有代吗都有漏洞,开源的是有所有人盯着漏洞去快速解决。闭源的被找到路由就要完蛋,这确实是不应该。

    反正我不相信我自建的可靠性会比云端的可靠性强,除非付出足够多的成本。低成本的高可用从概率上说都是可以一锅端。

    chrome 之类的就不用扯了,本地密码库和本地用明文存文件管理密码没啥太大的本质区别。对有安全要求的,基本没啥意义。
    ciki
        49
    ciki  
       161 天前
    由于受不了不停的让登录已经转自建了
    ccppgo
        50
    ccppgo  
       161 天前
    keepass (密码+密钥) + 坚果云 webdav
    zi
        51
    zi  
       161 天前
    bitwarden 挺好用的,已经跟 lasspass 同时用三个月了,基本常用的站都过渡过去了,打算再过三个月把 lasspass 卸掉
    gdgoldlion
        52
    gdgoldlion  
       161 天前
    @nyxsonsleep

    说了半天,绕来绕去,原来你在纠结本地加密保存,然而通过 masterkey 解码这种梗

    你要那么理解也没问题

    玩梗没什么好争论的

    》提一点,复制用户文件到另一台电脑,的另一个用户下,照样能用。
    简单复制这招早就不行了,本机都要验证 sid ,何况是换机
    changhai
        53
    changhai  
       161 天前   ❤️ 1
    Enpass 可能也是个选项
    changhai
        54
    changhai  
       161 天前
    @wolfmei 1password 现在不支持 standalone 的 vault ,一定要放到他的 cloud 上。
    journey0ad
        55
    journey0ad  
       161 天前   ❤️ 1
    用啥密码管理器问题都不大,密钥不上传理论上泄露也破解不了
    但别用 chrome 系和 firefox 浏览器自带的记住密码,基本等于明文
    https://github.com/moonD4rk/HackBrowserData
    nyxsonsleep
        56
    nyxsonsleep  
       161 天前
    @gdgoldlion
    对对对,你的本地密码太安全辣。
    nyxsonsleep
        57
    nyxsonsleep  
       161 天前
    @gdgoldlion 说话的逻辑就颠三倒四。
    “什么叫明文密码啊,登录网站当然要登录明文,储存时不会存明文。至于本地查看密码,谁家都是解密出来看的。”谁说的?被戳穿了又开始自我安慰,原来你还在纠结本地密码。尬中尬。
    “本地想看密码也没那么容易” https://github.com/moonD4rk/HackBrowserData ,现成的工具。
    tufu9441
        58
    tufu9441  
       161 天前
    用过几年 1Password ,后来不想续费了,索性转到免费的 Bitwarden (非自建)。
    libook
        59
    libook  
       161 天前
    LastPass 是个老牌密码管理器,在刚出来的时候,是非常能打的,还支持中文本地化,所以它能积累很多口碑推荐。

    但几年前就开始摆烂了,彻底放弃了中文本地化,一堆自动填写的适配问题不改进,还有一堆安全负面报道。

    我曾经是 LastPass 的付费用户,后来自动填写几乎不可用的时候,就换了 Bitwarden ,刚好自己也攒了 NAS ,就开始私有化部署,用的是第三方的 Bitwarden-rs ,后来这项目改名成了 Vaultwarden ,用到现在至少三年了吧。

    Bitwarden 自建愿意支持官方的话可以用官方的服务端,非自建也可以用官方在线服务。
    HOU
        60
    HOU  
       161 天前
    Bitwarden 官方 + 导出本地备份,以前折腾自建,现在懒得弄了
    iwdmb
        61
    iwdmb  
       161 天前
    Enpass+1
    买断价格便宜
    rabsicBot
        62
    rabsicBot  
       160 天前
    谢谢安利,准备换 bitwarden
    CSGO
        63
    CSGO  
       160 天前
    Bitwarden 自建,被盗的风险有多大?
    x2ve
        64
    x2ve  
       159 天前 via iPhone
    说一下我目前的做法,自个写了个专门解密加密的页面 自定义 key 也不怕泄露 然后生成的密文放到记事本或者网盘 真大厂
    分布式备份 想看随时能看 就是没工具自动填写方便
    cco
        65
    cco  
       158 天前
    目前用 enpass ,主要是便宜,永久版。体验比不上 1p ,但是价格能中和一下体验不佳带来的感受。
    LuoboTixS
        66
    LuoboTixS  
       158 天前
    @libook Lastpass 不只是摆烂,可能其团队已经没有什么全职开发者了。

    它的安卓客户端有个非常经典的弱智 bug 拖了好几年不修,就是如果账户注册填的邮箱使用小写(一般都这样),然后自己在安卓上登陆时输入的用户名邮箱地址用了大写,那么可以登陆进去,但是在读取 Vault 时会不停报错并提示 Invalid Password 。解决方案是退出登陆,改填小写邮箱地址

    https://community.logmein.com/t5/LastPass-Mobile-Apps/Invalid-Password-Android-New-Device/td-p/224913/page/2

    https://www.reddit.com/r/Lastpass/comments/hek8sj/invalid_password_issue_android_10/
    liuidetmks
        67
    liuidetmks  
       38 天前
    没有删除帐号的选项,我改了密码,40 位的主密码。随他去泄漏吧
    lingaolc
        68
    lingaolc  
    OP
       37 天前
    @liuidetmks 应该有的,试着找一下,我前两个月已删除账号,完全弃坑
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   3220 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 52ms · UTC 13:39 · PVG 21:39 · LAX 05:39 · JFK 08:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.