V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GhXst
V2EX  ›  信息安全

你真的放心把所有密码交给Lastpass管吗?

  •  
  •   GhXst · 2011-12-31 07:51:18 +08:00 · 17539 次点击
    这是一个创建于 4704 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我是不放心,就算它需要yubico或google authentication认证。
    21 条回复    1970-01-01 08:00:00 +08:00
    chone
        1
    chone  
       2011-12-31 07:59:00 +08:00
    我一直认为用一个密码来管理一堆密码是一种很愚蠢的行为。
    tomyiyun
        2
    tomyiyun  
       2011-12-31 08:08:52 +08:00 via Android
    为什么不相信呢?
    vonsy
        3
    vonsy  
       2011-12-31 08:14:29 +08:00
    @GhXst
    为什么不放心? 你认为放心的又是哪种管理密码的方式?

    @chone
    为什么? 同样你认为不愚蠢的方式是什么?

    都直接给结论,没有说出理由.
    hipeng
        4
    hipeng  
       2011-12-31 08:22:40 +08:00
    记性不好肿马办,用Lastpass吧。
    Syndim
        5
    Syndim  
       2011-12-31 08:47:10 +08:00
    我还是比较相信KeePass,虽然同步有些麻烦,但是密码还是保存在自己的手上。
    chone
        6
    chone  
       2011-12-31 08:55:13 +08:00
    @vonsy 基本上我都能记住帐号密码,而且我也说了这是"我认为的"。
    在我看来密码泄漏除了技术上的暴力方法外,社会工程学层面的威胁也是很大的。统一管理密码风险很大,虽然Lastpass的高强度保护方案能规避很多危险。

    当然了,每个人对帐号安全的评估不一样,需求也就不一样。
    frittle
        7
    frittle  
       2011-12-31 08:57:07 +08:00
    只要你的master password强,没什么好不放心的。
    ksky
        8
    ksky  
       2011-12-31 09:01:43 +08:00 via iPhone
    只管理普通密码。
    coderoar
        9
    coderoar  
       2011-12-31 09:02:26 +08:00
    你担心的是Lastpass不能保证自己数据库的安全吧,那样的话你可以用它来记录不太重要的帐号,在安全性和便捷性之间取得平衡。
    RoCry
        10
    RoCry  
       2011-12-31 09:08:20 +08:00
    不管怎么样鸡蛋还是要分开放的
    haisua
        11
    haisua  
       2011-12-31 09:12:41 +08:00
    首先没有绝对的安全,在这个前提上来做评估,选择适合个人需求的方案。个人认为,完全在自己本地储存密码,不联网同步来使用的话,实用性大打折扣;若借用第三方在线同步服务(如Dropbox)来储存密码(如自己的keepass数据),风险也是有的;LastPass对个人用户来说,够安全了,只要主密码够强大,即便它们家用户数据被盗(这个还真的发生过一次),黑客也只能暴力破解,因为数据是加密的。
    hipeng
        12
    hipeng  
       2011-12-31 09:18:24 +08:00
    其实pwsafe我也用的,本地也有一份
    thomas92911
        13
    thomas92911  
       2011-12-31 09:21:32 +08:00
    在手机上下载了一个安装包

    当我看到 Full Internet Access 的时候

    我退缩了
    vincent1q84
        14
    vincent1q84  
       2011-12-31 15:26:55 +08:00
    在维基百科查过lastpass。用的是美国政府部门的加密方式,以目前的技术,暴力破解需要10年以上。
    这次密码泄漏让我觉得有必要一站一密,全部用脑子记太浪费精力。除了邮箱、财产相关的账号,我都放进lastpass了。
    Matata
        15
    Matata  
       2011-12-31 16:01:56 +08:00
    放心
    GhXst
        16
    GhXst  
    OP
       2011-12-31 16:48:50 +08:00
    @RoCry 同意鸡蛋分开放的想法,这个数据库一旦泄了,改密码改的手软!
    ooorangeee
        17
    ooorangeee  
       2011-12-31 17:30:23 +08:00
    我绝大部分密码都让lastpass管理,毕竟几十个站点,又不能全用一样的密码,很难记住的。当然像网银、支付宝之类的密码还是得人脑记忆
    SAGAN
        18
    SAGAN  
       2012-01-02 23:36:19 +08:00
    懒人路过, 所有密码全交给Lastpass, 连要填信用卡号时都用Lastpass的Fill Forms功能自动完成, 方便省事. 而且注册网站时可以使用Lastpass生成的高强度密码, 每个网站密码都不一样, 这次CSDN等密码泄露表示毫无压力 = =

    安全的话, Lastpass所有数据用主密码本地加密后才上传到服务器的, 个人觉得无需单行
    sqbing
        19
    sqbing  
       2012-01-02 23:39:43 +08:00
    用Laspass主要是方便,自动写入密码。
    安全性嘛……说回来Windows真的比Linux脆弱吗?还是得看是谁用的。
    两个选择,什么都让Lastpass处理,生成随机密码,可是这样一来,在移动终端等场合会非常非常麻烦;如果不这样,那么难免的,很多密码会相同,就像上面哥们说的,什么都防不了社会工程。
    什么安全不安全,防君子不防小人。
    kuailewubi
        20
    kuailewubi  
       2012-01-03 19:41:27 +08:00
    还是自己脑袋记住了比较好,只要不被催眠就没问题丫哈哈。
    Kangqiao
        21
    Kangqiao  
       2012-01-03 20:09:38 +08:00
    我觉得弄个yubikey的话应该可以放心。。。了吧。。。

    目前在用keepass。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   965 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:52 · PVG 04:52 · LAX 12:52 · JFK 15:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.