V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lingaolc
V2EX  ›  分享发现

发现 LastPass 是个坑

  •  
  •   lingaolc · 2022-08-28 13:59:41 +08:00 · 7806 次点击
    这是一个创建于 812 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原因:

    1. 两周前数据泄漏,源代码被盗,翻了下历史,这不是 LastPass 第一次出现安全问题了;
    2. 大概也是两周前,部分用户遇到无法取消自动续费、无法删除账号的问题。其中无法取消自动续费的问题,两周前已经有用户在官方论坛报告了,官方到现在仍未解决;
    3. 官方没有邮件客服,而电话客服不支持用户使用+86 手机号码接听,因此需要客服人工帮助时会比较麻烦。
    第 1 条附言  ·  2022-08-28 22:32:35 +08:00
    根据各位 V2exr 的推荐,和我自己查到的,稍微整理了一下(排名不分先后,可能有错漏):
    一、自建
    1. bitwarden
    2. vaultwarden (一个用 Rust 写的 bitwarden 服务端)
    3. KeePass
    4. KeePassXC
    ( KeePass 相关的还有个 KeePassX )
    二、非自建
    1. 1Password
    2. SafeInCloud
    3. Chrome 自带的密码存储
    4. Dashlane
    第 2 条附言  ·  2022-09-02 07:45:50 +08:00
    北京时间 2022 年 9 月 1 日收到 LastPass 的邮件说,之前无法取消自动续费的 bug 已修复,我试了确实可以取消了。

    另外,补充 v2exr 推荐的密码管理 app:
    Enpass
    69 条回复    2023-03-03 16:48:54 +08:00
    nishuoshenme
        1
    nishuoshenme  
       2022-08-28 14:10:33 +08:00   ❤️ 6
    换了吧,试试 bitwarden 和 keepass ,一次出现安全问题还说的过去,多次出现就真的没什么好说的了
    Marionic0723
        2
    Marionic0723  
       2022-08-28 14:11:54 +08:00 via Android
    lastpass 两步验证不能通过手机号发验证码,但是绑定的时候是可以收到验证码的,还好我有备份软件数据不然真把我锁死了,这东西确实变难用了。
    lingaolc
        3
    lingaolc  
    OP
       2022-08-28 14:13:11 +08:00
    @nishuoshenme 嗯嗯,已经换了,LastPass 知名度很靠前,谁知道这么多问题,希望其他人别踩坑吧。
    dcsuibian
        4
    dcsuibian  
       2022-08-28 14:15:40 +08:00
    keepass 和 bitwarden 再加一分,不要钱而且数据在自己手里。
    个人目前在用 keepass ,程序员美感,但功能是真的强大。
    lingaolc
        5
    lingaolc  
    OP
       2022-08-28 14:16:27 +08:00
    @Marionic0723 这几年用下来,感觉 LastPass 没啥太大的长进,web 管理界面一如既往的不够直观,app 端有些操作步骤依旧不顺手。
    ltkun
        6
    ltkun  
       2022-08-28 14:19:10 +08:00 via Android   ❤️ 2
    一切自己的数据上私有云 公有云服务不可靠
    cwcauc
        7
    cwcauc  
       2022-08-28 14:21:14 +08:00 via iPhone
    @dcsuibian 浏览器有时无法填充,这个能解决就完美了
    lingaolc
        8
    lingaolc  
    OP
       2022-08-28 14:22:46 +08:00
    @dcsuibian 我一直很想自建,但总担心自建的服务器不够稳定,导致丢数据。
    lingaolc
        9
    lingaolc  
    OP
       2022-08-28 14:24:19 +08:00
    @ltkun 我的话是不放心公有云的隐私保护,但也会担心私有云不稳定导致丢数据。
    wolfmei
        10
    wolfmei  
       2022-08-28 14:26:26 +08:00   ❤️ 1
    一直用 1pass
    F798
        11
    F798  
       2022-08-28 14:35:37 +08:00 via iPhone   ❤️ 4
    私有云只会更不可靠,只是没人盯上你而已
    Marionic0723
        12
    Marionic0723  
       2022-08-28 14:36:12 +08:00 via Android
    @lingaolc 何止没长进,都开始开倒车了,以前有中文,后来砍了;以前电脑手机双端登录,现在也砍了,还只能三次机会更换,那个验证码的问题是三月份发现的,到现在还没修好,以前就听说被黑了,现在还是,我是不敢用了。
    wu67
        13
    wu67  
       2022-08-28 14:40:22 +08:00
    很久之前出现过无法填充密码的问题, 后来填充按钮还各种奇怪的跟各 ui 库的清除输入按钮叠叠乐...然后我就导出密码注销账户了
    Cat7373
        14
    Cat7373  
       2022-08-28 14:47:05 +08:00
    @nishuoshenme #1 已感谢,终于找到靠谱的东西换掉 LastPass 了
    yanqing07
        15
    yanqing07  
       2022-08-28 15:06:59 +08:00
    这产品收费后就转战了 bitwarden 。而且,lastpass ios 还被墙了,果断放弃。
    uudj
        16
    uudj  
       2022-08-28 15:40:13 +08:00 via iPhone
    私有云三个字感觉听起来都不安全。
    supercaizehua
        17
    supercaizehua  
       2022-08-28 16:21:48 +08:00 via iPhone
    很早之前就注销了,转 bitwarden 了
    imrei
        18
    imrei  
       2022-08-28 16:29:06 +08:00
    在用 KeePassXC ,最近考虑换 MacPass ,bitwarden 有点纠结,毕竟联网直接对接,安全程度还是 keepass 最佳
    emberzhang
        19
    emberzhang  
       2022-08-28 16:58:53 +08:00   ❤️ 1
    @F798 不容易被盯上就是一种巨大的安全优势啊。。。要被三体人盯上啥可靠技术都白搭
    securityCoding
        20
    securityCoding  
       2022-08-28 17:09:42 +08:00
    试试 safeIncloud
    zzzmode
        21
    zzzmode  
       2022-08-28 17:47:47 +08:00
    早已注销换 vaultwarden 了
    gdgoldlion
        22
    gdgoldlion  
       2022-08-28 19:37:36 +08:00
    Chrome 用户,用 Chrome 存密码,电脑手机都可以用,iOS 也可以直接调用 Chrome 密码。目前未发现问题
    dcsuibian
        23
    dcsuibian  
       2022-08-28 19:44:24 +08:00
    @lingaolc 那就 KeePass+坚果云 webdav ,审查也不会审查这种东西
    bigwhite1
        24
    bigwhite1  
       2022-08-28 20:08:22 +08:00
    好吧,这就去把 lastpass 给注销了。其实 lastpass 用着还行,没中文、只能一个设备用对我都没啥影响,但是存在密码泄漏风险这个问题不能忍。可惜我这不也不是程序员不会自建,搞不动 1#说的咋弄,算了,不重要的密码就保存在浏览器上,重要的密码都自己手输吧。。。
    Tyuans
        25
    Tyuans  
       2022-08-28 20:29:55 +08:00
    还好我删号删的早
    liuzhaowei55
        26
    liuzhaowei55  
       2022-08-28 20:38:05 +08:00 via Android
    正在把 1pass 转 keepass
    nyxsonsleep
        27
    nyxsonsleep  
       2022-08-28 20:47:29 +08:00
    @gdgoldlion 明文存密码,这就脱离了密码安全的范畴吧。
    24
        28
    24  
       2022-08-28 20:47:44 +08:00 via Android
    @F798 我的方案是 keepass 密码+文件 key ,坚果云同步密码库,文件 key 从未进过公网,请教这方案有啥漏洞吗,除非电脑中毒文件 key 被搞走+记录了我的密码库密码,否则我真不知道还有啥能破我密码库。
    24
        29
    24  
       2022-08-28 20:49:11 +08:00 via Android
    @24 不是挑衅,主要是想知道有没有什么安全弊端好改进我的方案。这个我感觉是在安全跟方便中折中的比较好的选择,加硬件 key 感觉太麻烦了。
    mosliu
        30
    mosliu  
       2022-08-28 21:03:33 +08:00
    vaultwarden +1
    nyxsonsleep
        31
    nyxsonsleep  
       2022-08-28 21:08:05 +08:00
    楼上大把不懂装懂。泄漏的也是加密数据而已。
    举例一个简单的方案,将一个数据库用 aes 加密之后,存储到云端,服务器根本不用存储 key ,因为 key 在用户自己手里。你偷个 aes 加密数据有什么用呢?破解几千万个不同的 key ?还是破解 aes 算法?
    试试看 lastpass 能找回密码重置密码吗?恢复账户都麻烦要死。
    yunyuyuan
        32
    yunyuyuan  
       2022-08-28 21:36:31 +08:00
    @bigwhite1 #24 lastpass 没限制 1 个设备啊,我家里公司都同时在线没问题,免费版的。不过我现在也注销了,换 keepassxc+坚果云了,就是每次都要启动两个软件专门做这事儿,挺麻烦的
    lingaolc
        33
    lingaolc  
    OP
       2022-08-28 22:13:04 +08:00
    @dcsuibian 发现 KeePass 不少人推荐,以前只听说 bitwarden ,我试试 KeePass ,谢啦!
    gdgoldlion
        34
    gdgoldlion  
       2022-08-28 22:49:08 +08:00
    @bigwhite1 lp 没有限制设备数,限制的是桌面端移动端二选一,而且只能改三次。为了逼用户充值。

    @nyxsonsleep 什么叫明文密码啊,登录网站当然要登录明文,储存时不会存明文。至于本地查看密码,谁家都是解密出来看的。本地想看密码也没那么容易,桌面要过 windows hello ,手机要过 face id 。
    clouddd
        35
    clouddd  
       2022-08-29 00:00:15 +08:00 via iPhone
    Elpass 蛮好用的 不过貌似只在苹果生态内用
    Lather
        36
    Lather  
       2022-08-29 00:01:17 +08:00
    這個垃圾我幾年前就不用了。一個有語言歧視的插件,本身功能沒做好收錢比誰都在乎。
    itzamana
        37
    itzamana  
       2022-08-29 00:16:22 +08:00
    KeePassXC 挺好用的,UI 也舒服
    haikouwang
        38
    haikouwang  
       2022-08-29 00:33:55 +08:00 via Android
    @lingaolc 弄大厂服务器 定期 snapshot 就没事
    guazila
        39
    guazila  
       2022-08-29 00:34:36 +08:00 via Android   ❤️ 2
    @24 要注意一下输入法软件,比如在安卓端,恶意输入法搞到了系统储存权限和联网权限(默认都是给的),那么你的主密码和密码库都能被获取并传走。
    还有就是文件 key 的问题,按你的说法文件 key 没上公网,那就是没有云备份,虽然可能性很小,但是万一所有文件 key 备份全都失效....我的文件 key 是一个 windows 系统文件,只要你安装某个版本的 win 系统,那个文件就肯定在那里。
    haikouwang
        40
    haikouwang  
       2022-08-29 00:35:44 +08:00 via Android
    @F798 就是没人盯上这一点就很安全了啊
    haikouwang
        41
    haikouwang  
       2022-08-29 00:37:04 +08:00 via Android
    @emberzhang 对的 这点跟想的跟你一样
    Les1ie
        42
    Les1ie  
       2022-08-29 00:37:37 +08:00
    听闻 lastpass 又一次出事,前两天赶忙把 lastpass 的账号“彻底”删除了 https://lastpass.com/delete_account.php

    用了半年多的解决方案:
    Windows/Linux: KeepassXC + 坚果云客户端
    Android: Keepass2Android + 坚果云 webdav
    IOS: 奇密(付费,12 元)+坚果云 webdav

    体验很好,唯一的担心是几个客户端的安全性,毕竟要是遇到个投毒的那我的全部密码和 TOTP 就和盘托出了 :)
    zhaogaz
        43
    zhaogaz  
       2022-08-29 00:41:46 +08:00
    KeePassXC 在用,自己想办法同步一下就行了。。。目前用下来,全平台都 ok ios 有软件也可以 安卓也行
    nyxsonsleep
        44
    nyxsonsleep  
       2022-08-29 00:46:56 +08:00   ❤️ 2
    @gdgoldlion
    多多少少属于对密码安全毫无概念了。没有公私密钥对,说明肯定不是非对称加密。
    那就是对称加密,那么 key 是什么呢?难道是用户密码?但是 chrome 有在任何时候要求输入“主密码”了吗?
    还是说 chrome 破解了 windows 用户密码来使用,或者说 windows 有 api 可以提供密码?前者荒谬可笑,后者就是无稽之谈了,如果有这样的 api ,破解 windows 密码明文的工具早就满天飞了。
    就提一点,复制用户文件到另一台电脑,的另一个用户下,照样能用。这不是“明文”是什么呢?
    chrome 密码就放在一个 sql 数据库立,密钥就在 json 文件里面,输不输用户密码只是一个安慰剂而已。
    chrome 开源版本的密码算法写得清清楚楚。前几天还有人在 v2 里发 chrome 明文存密码呢,甚至不知道这已经是 10 年前的老新闻了。
    Fixedsys
        45
    Fixedsys  
       2022-08-29 01:23:07 +08:00
    keepass + 坚果云,无敌!
    Ray95
        46
    Ray95  
       2022-08-29 08:25:20 +08:00 via iPhone
    1password 用了 5 年了,已经习惯了,最近换成了家庭版。还有 2 位置,需要的联系 tg:MarioYounger
    lingaolc
        47
    lingaolc  
    OP
       2022-08-29 08:28:03 +08:00
    @Ray95 谢谢!我不需要啦,或许其他 V2exr 会有需要
    sampeng
        48
    sampeng  
       2022-08-29 09:35:59 +08:00
    1password 用得比较好,主要是体验方面,这么多非自建的一个能打的都没有。从公布的安全信息来说,就算泄漏也只是泄漏加密的密码。咱们都是研发,哪个脑残的做密码产品的把用户密码保存在服务端?但是。。。凡是有但是,你把源码泄漏了就有点扯了。理论上所有代吗都有漏洞,开源的是有所有人盯着漏洞去快速解决。闭源的被找到路由就要完蛋,这确实是不应该。

    反正我不相信我自建的可靠性会比云端的可靠性强,除非付出足够多的成本。低成本的高可用从概率上说都是可以一锅端。

    chrome 之类的就不用扯了,本地密码库和本地用明文存文件管理密码没啥太大的本质区别。对有安全要求的,基本没啥意义。
    ciki
        49
    ciki  
       2022-08-29 09:54:18 +08:00
    由于受不了不停的让登录已经转自建了
    ccppgo
        50
    ccppgo  
       2022-08-29 10:21:28 +08:00
    keepass (密码+密钥) + 坚果云 webdav
    zi
        51
    zi  
       2022-08-29 10:51:29 +08:00
    bitwarden 挺好用的,已经跟 lasspass 同时用三个月了,基本常用的站都过渡过去了,打算再过三个月把 lasspass 卸掉
    gdgoldlion
        52
    gdgoldlion  
       2022-08-29 11:04:33 +08:00
    @nyxsonsleep

    说了半天,绕来绕去,原来你在纠结本地加密保存,然而通过 masterkey 解码这种梗

    你要那么理解也没问题

    玩梗没什么好争论的

    》提一点,复制用户文件到另一台电脑,的另一个用户下,照样能用。
    简单复制这招早就不行了,本机都要验证 sid ,何况是换机
    6i3BMhWCpKaXhqQi
        53
    6i3BMhWCpKaXhqQi  
       2022-08-29 11:12:57 +08:00   ❤️ 1
    Enpass 可能也是个选项
    6i3BMhWCpKaXhqQi
        54
    6i3BMhWCpKaXhqQi  
       2022-08-29 11:13:32 +08:00
    @wolfmei 1password 现在不支持 standalone 的 vault ,一定要放到他的 cloud 上。
    journey0ad
        55
    journey0ad  
       2022-08-29 12:43:33 +08:00   ❤️ 1
    用啥密码管理器问题都不大,密钥不上传理论上泄露也破解不了
    但别用 chrome 系和 firefox 浏览器自带的记住密码,基本等于明文
    https://github.com/moonD4rk/HackBrowserData
    nyxsonsleep
        56
    nyxsonsleep  
       2022-08-29 14:02:41 +08:00
    @gdgoldlion
    对对对,你的本地密码太安全辣。
    nyxsonsleep
        57
    nyxsonsleep  
       2022-08-29 14:06:19 +08:00
    @gdgoldlion 说话的逻辑就颠三倒四。
    “什么叫明文密码啊,登录网站当然要登录明文,储存时不会存明文。至于本地查看密码,谁家都是解密出来看的。”谁说的?被戳穿了又开始自我安慰,原来你还在纠结本地密码。尬中尬。
    “本地想看密码也没那么容易” https://github.com/moonD4rk/HackBrowserData ,现成的工具。
    tufu9441
        58
    tufu9441  
       2022-08-29 14:13:23 +08:00
    用过几年 1Password ,后来不想续费了,索性转到免费的 Bitwarden (非自建)。
    libook
        59
    libook  
       2022-08-29 14:49:30 +08:00
    LastPass 是个老牌密码管理器,在刚出来的时候,是非常能打的,还支持中文本地化,所以它能积累很多口碑推荐。

    但几年前就开始摆烂了,彻底放弃了中文本地化,一堆自动填写的适配问题不改进,还有一堆安全负面报道。

    我曾经是 LastPass 的付费用户,后来自动填写几乎不可用的时候,就换了 Bitwarden ,刚好自己也攒了 NAS ,就开始私有化部署,用的是第三方的 Bitwarden-rs ,后来这项目改名成了 Vaultwarden ,用到现在至少三年了吧。

    Bitwarden 自建愿意支持官方的话可以用官方的服务端,非自建也可以用官方在线服务。
    HOU
        60
    HOU  
       2022-08-29 14:51:18 +08:00
    Bitwarden 官方 + 导出本地备份,以前折腾自建,现在懒得弄了
    iwdmb
        61
    iwdmb  
       2022-08-29 15:28:40 +08:00
    Enpass+1
    买断价格便宜
    rabsicBot
        62
    rabsicBot  
       2022-08-30 11:06:27 +08:00
    谢谢安利,准备换 bitwarden
    CSGO
        63
    CSGO  
       2022-08-30 17:22:30 +08:00
    Bitwarden 自建,被盗的风险有多大?
    x2ve
        64
    x2ve  
       2022-08-30 23:20:00 +08:00 via iPhone
    说一下我目前的做法,自个写了个专门解密加密的页面 自定义 key 也不怕泄露 然后生成的密文放到记事本或者网盘 真大厂
    分布式备份 想看随时能看 就是没工具自动填写方便
    cco
        65
    cco  
       2022-09-01 14:30:49 +08:00
    目前用 enpass ,主要是便宜,永久版。体验比不上 1p ,但是价格能中和一下体验不佳带来的感受。
    LuoboTixS
        66
    LuoboTixS  
       2022-09-01 15:05:03 +08:00
    @libook Lastpass 不只是摆烂,可能其团队已经没有什么全职开发者了。

    它的安卓客户端有个非常经典的弱智 bug 拖了好几年不修,就是如果账户注册填的邮箱使用小写(一般都这样),然后自己在安卓上登陆时输入的用户名邮箱地址用了大写,那么可以登陆进去,但是在读取 Vault 时会不停报错并提示 Invalid Password 。解决方案是退出登陆,改填小写邮箱地址

    https://community.logmein.com/t5/LastPass-Mobile-Apps/Invalid-Password-Android-New-Device/td-p/224913/page/2

    https://www.reddit.com/r/Lastpass/comments/hek8sj/invalid_password_issue_android_10/
    liuidetmks
        67
    liuidetmks  
       2022-12-30 11:02:34 +08:00
    没有删除帐号的选项,我改了密码,40 位的主密码。随他去泄漏吧
    lingaolc
        68
    lingaolc  
    OP
       2022-12-31 12:03:44 +08:00
    @liuidetmks 应该有的,试着找一下,我前两个月已删除账号,完全弃坑
    littlesubgirl
        69
    littlesubgirl  
       2023-03-03 16:48:54 +08:00
    lastpss10 年用户,已经转战 enpass 。数据泄露一次就算了,两次不可饶恕。想把 lastpass 里面的数据删除,可登录提示已经超过三个设备,把其他设备删除掉,目前仍旧无法在网页管理数据,提示设备数量到了上限。哎。里面的数据目前想不到好办法删除。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2880 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 00:18 · PVG 08:18 · LAX 16:18 · JFK 19:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.