V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
abcdabcd987
V2EX  ›  分享发现

从 LastPass 的浏览器插件竟然可以直接拿到主密码

  •  
  •   abcdabcd987 · 2014-07-12 10:43:02 +08:00 · 8612 次点击
    这是一个创建于 3770 天前的主题,其中的信息可能已经有所发展或是发生改变。
    首先感谢 http://www.v2ex.com/t/122254

    然后我安装了 LastPass 浏览器插件,在登入框中,竟然看到了“记住密码”这么一个选项。这是在逗我吗?自己官网上说“您需要记住最后一个密码!”,然后竟然最后一个密码还让浏览器帮忙记忆?

    这就算了,更囧的是,登入后点登出,随便审查元素一下,密码就出来了。

    当时我就零乱了。



    18 条回复    2014-07-14 14:20:58 +08:00
    phyng
        1
    phyng  
       2014-07-12 10:49:58 +08:00
    默认是不勾选记住主密码的,而且我记得以前勾选这个选项会有严重的警告,但是现在测试好像没有警告了
    ghostinthewild
        2
    ghostinthewild  
       2014-07-12 10:50:10 +08:00
    那个记住密码的勾从来都不打,要不然如何体现last pass这个名字
    phyng
        3
    phyng  
       2014-07-12 10:51:31 +08:00
    其实最让我吃惊的是,登录后默认可以复制任意站点的密码不需要输入主密码,设置里面可以更改
    sandtears
        4
    sandtears  
       2014-07-12 10:56:50 +08:00
    @phyng 貌似 Firefox、安卓客户端都有提示,Chrome 什么的就没有
    abcdabcd987
        5
    abcdabcd987  
    OP
       2014-07-12 11:02:07 +08:00
    @sandtears safari/chrome 都没有
    jsonline
        6
    jsonline  
       2014-07-12 11:06:56 +08:00 via Android
    这很正常啊,有什么问题吗?

    不要让它记住密码不叫好了。

    审查元素能看到密码这是再正常不过的了。
    jsonline
        7
    jsonline  
       2014-07-12 11:08:23 +08:00 via Android
    不过如果能在显示密码前强制你再输入一遍密码就比较安全了。
    abcdabcd987
        8
    abcdabcd987  
    OP
       2014-07-12 11:14:12 +08:00
    @jsonline

    我觉得问题在于,不应该提供记住密码的服务,这明显跟他自己的宣传标语相违背嘛。当然啦,审查元素能看到密码,这我知道。

    在显示密码前再输入一次密码,嗯这可能是个折中的方案,因为既要保证使用方便,又要保证安全。那搞个特殊的 token 或者 hash 值如何?这样就本地就没有保存密码,但是又可以直接登入了。
    edgar
        9
    edgar  
       2014-07-12 11:33:39 +08:00
    - -。lastpass可以设置两步验证,还有其它一堆辅助验证的东西。
    jsonline
        10
    jsonline  
       2014-07-12 11:34:11 +08:00
    @abcdabcd987 你本地不存明文密码是无法登录那些网站的。 LastPass 的推荐用法是:
    自己不要再想密码了,全部采用 LastPass 生成的乱码作为密码。
    只记住主密码。

    这样就算你密码丢了,也影响不大。

    主要的坑在于它这套做法在手机上太不方便了。
    sdysj
        11
    sdysj  
       2014-07-12 11:40:44 +08:00
    这种情况本地来说还算正常,不过最好像mega.co.nz那样利用local storage和js aes保存比较安全。。。
    dndx
        12
    dndx  
       2014-07-12 11:44:35 +08:00
    LastPass 本来也是把 Vault 缓存在本地的,如果浏览器安全都不能保障,那么 LastPass 就没有任何安全性可言,就算看不到 Master Password 也能直接把 Vault 给 dump 了。
    sdysj
        13
    sdysj  
       2014-07-12 11:44:42 +08:00
    还有最近有利用webrtc拿到内网信息的大exploit,不用在线电话的最好都装下这个chrome插件。

    https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm?hl=en-US
    abcdabcd987
        14
    abcdabcd987  
    OP
       2014-07-12 11:54:20 +08:00
    @edgar 感谢告知,我是新用户,还没仔细看过。


    @jsonline 呃,我说的不是其他网站的密码,我是说主密码。自动登入功能通过记住一个特殊的字符串来实现,而不是记住用户名、密码。不知可行否?

    (当然,及时锁屏当然是上上策)
    jsonline
        15
    jsonline  
       2014-07-12 11:55:36 +08:00
    @abcdabcd987 LastPass 有提供自动退出功能,你可以设置空闲10分钟就自动退出登录。
    SoloCompany
        16
    SoloCompany  
       2014-07-12 12:39:28 +08:00
    这完全看不出有什么问题,每个人对安全和便利性的理解和要求都不一样,软件没有必要剥夺用户的选择权。如果你用的是自己的电脑,并且基本上只有你自己才会接触的,有必要给自己设置这么多屏障吗?

    在公用电脑上还点击记住主密码的,那就是逗比行为,况且人家默认也没让你选中啊。我的建议是,位置比较安全的电脑,可以选择一直记住主密码(实际上就依赖你的电脑的keychain安全性了);退而其次的,可以选择每次浏览器启动时提示;至于10分钟就自动忘记的,你不嫌麻烦也可以这么干
    Tink
        17
    Tink  
       2014-07-12 13:44:19 +08:00 via iPhone
    两步验证
    c742435
        18
    c742435  
       2014-07-14 14:20:58 +08:00
    @abcdabcd987 不行。很多软件的自动登入功能并不记住主密码,而是记住一个类似cookie的东西,从而并不明文存储你的主密码。但实际上,其安全性并不比记住主密码强多少:攻击者依然只需要传输这个cookie就可以登入该软件。对攻击者来说,相比记住密码,记住cookie唯一的不便是,无法直接在登入界面输入密码就登入该软件。

    lastpass的所有信息都是由你的主密码直接加密,从而解密也必须要使用到主密码。因此,自动登入必须存储主密码。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5037 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 05:39 · PVG 13:39 · LAX 21:39 · JFK 00:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.