这是一个创建于 3789 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先感谢 http://www.v2ex.com/t/122254
然后我安装了 LastPass 浏览器插件,在登入框中,竟然看到了“记住密码”这么一个选项。这是在逗我吗?自己官网上说“您需要记住最后一个密码!”,然后竟然最后一个密码还让浏览器帮忙记忆?
这就算了,更囧的是,登入后点登出,随便审查元素一下,密码就出来了。
当时我就零乱了。
然后我安装了 LastPass 浏览器插件,在登入框中,竟然看到了“记住密码”这么一个选项。这是在逗我吗?自己官网上说“您需要记住最后一个密码!”,然后竟然最后一个密码还让浏览器帮忙记忆?
这就算了,更囧的是,登入后点登出,随便审查元素一下,密码就出来了。
当时我就零乱了。
 |
1
phyng 2014-07-12 10:49:58 +08:00
默认是不勾选记住主密码的,而且我记得以前勾选这个选项会有严重的警告,但是现在测试好像没有警告了
|
 |
2
ghostinthewild 2014-07-12 10:50:10 +08:00
那个记住密码的勾从来都不打,要不然如何体现last pass这个名字
|
|
3
phyng 2014-07-12 10:51:31 +08:00
其实最让我吃惊的是,登录后默认可以复制任意站点的密码不需要输入主密码,设置里面可以更改
|
 |
5
abcdabcd987 OP @sandtears safari/chrome 都没有
|
 |
6
jsonline 2014-07-12 11:06:56 +08:00 via Android
这很正常啊,有什么问题吗?
不要让它记住密码不叫好了。 审查元素能看到密码这是再正常不过的了。 |
|
7
jsonline 2014-07-12 11:08:23 +08:00 via Android
不过如果能在显示密码前强制你再输入一遍密码就比较安全了。
|
|
8
abcdabcd987 OP @jsonline
我觉得问题在于,不应该提供记住密码的服务,这明显跟他自己的宣传标语相违背嘛。当然啦,审查元素能看到密码,这我知道。 在显示密码前再输入一次密码,嗯这可能是个折中的方案,因为既要保证使用方便,又要保证安全。那搞个特殊的 token 或者 hash 值如何?这样就本地就没有保存密码,但是又可以直接登入了。 |
 |
9
edgar 2014-07-12 11:33:39 +08:00
- -。lastpass可以设置两步验证,还有其它一堆辅助验证的东西。
|
|
10
jsonline 2014-07-12 11:34:11 +08:00
@abcdabcd987 你本地不存明文密码是无法登录那些网站的。 LastPass 的推荐用法是:
自己不要再想密码了,全部采用 LastPass 生成的乱码作为密码。 只记住主密码。 这样就算你密码丢了,也影响不大。 主要的坑在于它这套做法在手机上太不方便了。 |
 |
11
sdysj 2014-07-12 11:40:44 +08:00
这种情况本地来说还算正常,不过最好像mega.co.nz那样利用local storage和js aes保存比较安全。。。
|
 |
12
dndx 2014-07-12 11:44:35 +08:00
LastPass 本来也是把 Vault 缓存在本地的,如果浏览器安全都不能保障,那么 LastPass 就没有任何安全性可言,就算看不到 Master Password 也能直接把 Vault 给 dump 了。
|
|
13
sdysj 2014-07-12 11:44:42 +08:00
还有最近有利用webrtc拿到内网信息的大exploit,不用在线电话的最好都装下这个chrome插件。
https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm?hl=en-US |
|
14
abcdabcd987 OP |
|
15
jsonline 2014-07-12 11:55:36 +08:00
@abcdabcd987 LastPass 有提供自动退出功能,你可以设置空闲10分钟就自动退出登录。
|
 |
16
SoloCompany 2014-07-12 12:39:28 +08:00
这完全看不出有什么问题,每个人对安全和便利性的理解和要求都不一样,软件没有必要剥夺用户的选择权。如果你用的是自己的电脑,并且基本上只有你自己才会接触的,有必要给自己设置这么多屏障吗?
在公用电脑上还点击记住主密码的,那就是逗比行为,况且人家默认也没让你选中啊。我的建议是,位置比较安全的电脑,可以选择一直记住主密码(实际上就依赖你的电脑的keychain安全性了);退而其次的,可以选择每次浏览器启动时提示;至于10分钟就自动忘记的,你不嫌麻烦也可以这么干 |
 |
17
Tink 2014-07-12 13:44:19 +08:00 via iPhone
两步验证
|
 |
18
c742435 2014-07-14 14:20:58 +08:00
@abcdabcd987 不行。很多软件的自动登入功能并不记住主密码,而是记住一个类似cookie的东西,从而并不明文存储你的主密码。但实际上,其安全性并不比记住主密码强多少:攻击者依然只需要传输这个cookie就可以登入该软件。对攻击者来说,相比记住密码,记住cookie唯一的不便是,无法直接在登入界面输入密码就登入该软件。
lastpass的所有信息都是由你的主密码直接加密,从而解密也必须要使用到主密码。因此,自动登入必须存储主密码。 |
Select Language