论坛 › ＰＣ数码 › 有用户怀疑Lastpass主密码发生泄漏，Lastpass否认

acalephs 发表于 2021-12-29 13:18

有用户怀疑Lastpass主密码发生泄漏，Lastpass否认

最近有些用户发现有人试图用正确的主密码登录自己的Lastpass，怀疑Lastpass的主密码库发生了泄露。
Lastpass表示他们没有泄露，这些是用别家泄露的密码库做撞库攻击。
保险起见还是改下主密码，开启两步验证吧

Litccc 发表于 2021-12-29 13:21

还好我已经注销了

Realplayer 发表于 2021-12-29 13:27

我连卡巴斯基带的密码管理都不用

布拉德莱恩 发表于 2021-12-29 13:37

赶紧上去把号注销，最后一步报错，但再登录时被提示邮箱地址不对，这应该是注销成功了吧？

宵神乐 发表于 2021-12-29 13:42

我密码都不记得了 连上都上不去
虽然也没保存什么密码就是了 还是本地的密码管理靠谱

huzhiyangqaz 发表于 2021-12-29 14:00

lastpass 之前有过密码泄露的劣迹吧

我是早转 1password 保平安了

chachi 发表于 2021-12-29 14:36

keepass不好吗
让别的供应商管理你的主密码也太心大了

cosx 发表于 2021-12-29 14:39

泥潭反买

216kk 发表于 2021-12-29 14:42

只信得过保存在本地的

rp1993 发表于 2021-12-29 14:53

明年到期不再续用了····
有什么好的替代么？

暁美ほむら 发表于 2021-12-29 14:56

无所谓，反正就没保存过什么重要账号密码，而且早就不用LP了

13号 发表于 2021-12-29 15:11

用bitwarden。 方便，够用，不放心还可以自己搭服务器。

冰痕 发表于 2021-12-29 15:14

keepass的路过

yourSwaTer 发表于 2021-12-29 15:21

上次收费时候注销了

—— 来自 OnePlus GM1910, Android 11上的 S1Next-鹅版 v2.5.2

Processed 发表于 2021-12-29 15:29

本帖最后由 Processed 于 2021-12-29 15:30 编辑

我只相信自建的bitwarden

强尼高达 发表于 2021-12-29 16:13

布拉德莱恩 发表于 2021-12-29 13:37
赶紧上去把号注销，最后一步报错，但再登录时被提示邮箱地址不对，这应该是注销成功了吧？ ...

成功了
我昨天也是这个结果

hgfdsa 发表于 2021-12-29 16:20

自己租个ecs，手写密码存放服务，数据加密后自动云盘备份

11-- 发表于 2021-12-29 16:26

rp1993 发表于 2021-12-29 14:53
明年到期不再续用了····
有什么好的替代么？

keepass

软件自身的插件用两个
一个onedrive同步的。可以把本地密码库在onedrive指定文件夹中同步
一个keepass-rpc。是为了与浏览器进行交互。浏览器的插件名字记得就叫kee，一个倒三角图标，火狐和chrome都有该插件。

手机端ios不清楚，安卓使用的app叫keepass2android。能直接链接到onedrive路径下的密码库。

—— 来自 OnePlus KB2000, Android 11上的 S1Next-鹅版 v2.5.2-play

Anoneko 发表于 2021-12-29 16:42

为什么大家喜欢自托管呢，除非硬件是本地的，不然云环境一样没法避免密码库“在别人手中”的情况呀，还增加了单点问题

lhw369 发表于 2021-12-29 18:03

Anoneko 发表于 2021-12-29 16:42
为什么大家喜欢自托管呢，除非硬件是本地的，不然云环境一样没法避免密码库“在别人手中”的情况呀，还增加 ...

我硬件是自己的啊。我有公网IP。

—— 来自 HUAWEI LIO-AN00, Android 10上的 S1Next-鹅版 v2.5.2

maritimus 发表于 2021-12-29 18:17

Anoneko 发表于 2021-12-29 16:42
为什么大家喜欢自托管呢，除非硬件是本地的，不然云环境一样没法避免密码库“在别人手中”的情况呀，还增加 ...

密码库也是加密的呀，云环境主要是同步比较方便

chachi 发表于 2021-12-29 18:29

rp1993 发表于 2021-12-29 14:53
明年到期不再续用了····
有什么好的替代么？

https://bbs.saraba1st.com/2b/forum.php?mod=viewthread&tid=1988112&page=4#pid50367699

骆宾王 发表于 2021-12-29 20:34

电脑上我是全用edge浏览器的了。。。

bubuyu 发表于 2021-12-29 20:37

从1password转向自建bitwarden了

Nanachi 发表于 2021-12-29 20:39

我手机上也用edge浏览器带的填充功能

starrin 发表于 2021-12-29 20:48

我也用的bitwarden，服务器架在自家nas上

boday 发表于 2021-12-29 21:18

11-- 发表于 2021-12-29 16:26
keepass

软件自身的插件用两个

随手补充：iOS 上我用的是 KeePassium 感觉不错。Android 上我也是用的 Keepass2Android。

RaidenII 发表于 2021-12-29 22:11

KeePass

KeeChallenge用Yubikey加二次验证
KeeAnywhere同步密码库到Dropbox当只读备份

Dropbox上只放密码库，打开密码库还需要本地的XML和Yubikey共同作用

acalephs 发表于 2021-12-29 23:44

Anoneko 发表于 2021-12-29 00:42
为什么大家喜欢自托管呢，除非硬件是本地的，不然云环境一样没法避免密码库“在别人手中”的情况呀，还增加 ...

云环境只托管加密的密码库，不像lastpass还需要保存主密码。

flmu 发表于 2021-12-30 00:01

11-- 发表于 2021-12-29 16:26
keepass

软件自身的插件用两个

iOS有个国人写的奇密app

mj0017 发表于 2021-12-30 11:23

自托管的一样需要用账号密码登录,泄露了还没有两步验证保护

chillicez 发表于 2021-12-30 11:34

本帖最后由 chillicez 于 2021-12-30 11:36 编辑

mj0017 发表于 2021-12-30 11:23
自托管的一样需要用账号密码登录,泄露了还没有两步验证保护

用个不起眼的本地文件做密钥啊，谁会拿要登陆的帐号密码来保护

zeax 发表于 2021-12-30 12:11

所以是说其实没泄漏？

Diabolosis 发表于 2021-12-30 15:08

s1-5-5 发表于 2021-12-30 17:47

自己手写密码最安全回归传统

乔槁 发表于 2021-12-30 18:00

mj0017 发表于 2021-12-30 11:23
自托管的一样需要用账号密码登录,泄露了还没有两步验证保护

bitwarden自托管也能开两步验证。

而且对攻击者来说，破解自托管的收益太低。

egged5 发表于 2021-12-30 18:01

莫夜戎 发表于 2021-12-30 19:09

bitwarden自己架服务器解决一切

天网 发表于 2021-12-30 19:55

乔槁 发表于 2021-12-30 20:37

本帖最后由 乔槁 于 2021-12-30 22:51 编辑

天网 发表于 2021-12-30 19:55
自架服务器是啥意思，还得自己租个服务器？
Bitwarden有个低占用的社区版（vaultwarden，原本叫bitwarden_rs，规避商标冲突改名了）。
社区版带宽、内存占用非常低，便宜的垃圾VPS也能跑。于是阿里腾讯云的1M带宽学生机，各种10美元1年廉价机就派上用场了。

除了服务器，能跑docker的NAS也能用，就是外网需要配合DDNS。

查看完整版本: 有用户怀疑Lastpass主密码发生泄漏，Lastpass否认