TGFC Lifestyle - Powered by Discuz! Board

标题: [其他] 妈逼，要完蛋了！OpenSSL漏洞连 LastPass也跪了 [打印本页]

作者: zihexing 时间: 2014-4-9 19:37 标题: 妈逼，要完蛋了！OpenSSL漏洞连 LastPass也跪了

L我所有的账号密码都交给 LastPass了，这次出事改密码也改不过来了
淘宝的京东的支付宝的……

http://www.zhihu.com/question/23328658

[attach]635463[/attach]
[attach]635463[/attach]

[ 本帖最后由 zihexing 于 2014-4-9 19:39 编辑 ]

作者: zxsoft 时间: 2014-4-9 19:39

posted by wap, platform: Safari

喷了! 1-password怎么样？

作者: Running82 时间: 2014-4-9 19:45

posted by wap, platform: iPhone

这个漏洞那个厉害？
幸好xrouter已经修补了这个漏洞…

作者: mushroom 时间: 2014-4-9 19:52

http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html

据他自己说没事儿

作者: beterhans 时间: 2014-4-9 20:26

Lastpass 用户飘过。这可怎么办？每个网站改一遍这是要私人的

作者: 红叶 时间: 2014-4-9 20:33

靠，我还是付费用户

作者: 流雲隱劍 时间: 2014-4-9 20:33

posted by wap, platform: iPhone

同lastpass用户，几乎所以密码都在上面，不过大部分都不是什么重要网站，改太麻烦了，听天由命吧，按理说lastpass安全性应该挺高的，泄露不应该啊

作者: 左右中 时间: 2014-4-9 20:35

不一定会出事。
即使是有漏洞的openssl版本，编译时加一个参数就OK.

作者: beterhans 时间: 2014-4-9 20:35

引用:

原帖由 mushroom 于 2014-4-9 19:52 发表
 http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html

据他自己说没事儿

看了这个，还算放心吧
他们自己说他们有多层加密破了一层还有一层...:D :D :D :D

作者: qieyifonger 时间: 2014-4-9 20:54

posted by wap, platform: 小米 (MI 2S)

lastpass只储存不重要的账号信息，重要的网商支付全都记在脑子了~

作者: Kuzuryuusen 时间: 2014-4-9 21:08

posted by wap

赶紧改密码。安全专家给的建议是要等网站更新证书以后再改密码，否则还是有泄密的风险。

是时候再次推荐俺的终极差一点密码方案了:D
http://club.tgfcer.com/viewthread.php?tid=6676540

作者: Kuzuryuusen 时间: 2014-4-9 21:11

posted by wap

lastpass给的证书查询工具挺管用。Paypal还没更新，不用急着改密码。
https://lastpass.com/heartbleed/

作者: beterhans 时间: 2014-4-9 21:12

posted by wap, platform: Firefox

引用:

原帖由 @Kuzuryuusen 于 2014-4-9 21:08 发表
posted by wap

赶紧改密码。安全专家给的建议是要等网站更新证书以后再改密码，否则还是有泄密的风险。

是时候再次推荐俺的终极差一点密码方案了:D
http://club.tgfcer.com/viewthread.php?tid=6676540 >>wap

Keepass 是自己保管
但是 Keepass 是 Windows 的
其他非官方的版本都比官方 windows 的落后
而且用起来不方便
我是 WIN MAC Linux 都用的。
Keepass 在 mac 和 linux 上的版本很老，而且浏览器插件也不好弄。

后来不得不转头 lastpass
1pass 看过 MAC主战但是太贵

作者: francisic 时间: 2014-4-9 21:13

posted by wap, platform: Nokia

lastpass要是真出问题，也不用收费了，直接破产就可以了。

作者: EraserKing 时间: 2014-4-9 21:20

LastPass有两步登录啊你们都没开？
就算是免费用户也支持

作者: Kuzuryuusen 时间: 2014-4-9 21:46

posted by wap

引用:

原帖由 @beterhans 于 2014-4-9 21:12 发表
posted by wap, platform: Firefox

Keepass 是自己保管
但是 Keepass 是 Windows 的
其他非官方的版本都比官方 windows 的落后
而且用起来不方便
我是 WIN MAC Linux 都用的。
Keepass 在 mac 和 linux 上的版本很老，而且浏览器插件也不好弄。

后来不得不转头 lastpass
1pass 看过 MAC主战但是太贵

我始终觉得完全交给云不稳妥。
keepassx确实做得比较简陋，也算能用。但是并不老吧，最新的alpha版去年圣诞节发布的，作者说一直在往里加功能。
linux下还要自己编译比较崩溃。

作者: beterhans 时间: 2014-4-9 21:51

posted by wap, platform: Firefox

引用:

原帖由 @Kuzuryuusen 于 2014-4-9 21:46 发表
posted by wap

我始终觉得完全交给云不稳妥。
keepassx确实做得比较简陋，也算能用。但是并不老吧，最新的alpha版去年圣诞节发布的，作者说一直在往里加功能。
linux下还要自己编译比较崩溃。

关键问题是
1 windows 的版本新 Linux 和 Mac 的版本旧，导致数据库不通用
2.Windows 上 Keepass + 那个 HTTP 的server + 浏览器插件好用，但是 LINUX 和 mac 上不好用只能手工贴

作者: auric 时间: 2014-4-9 21:56

妈儿蛋的。。自从上次密码大泄漏之后才改用lastpass的

作者: Kuzuryuusen 时间: 2014-4-9 21:58

posted by wap

引用:

原帖由 @beterhans 于 2014-4-9 21:51 发表
posted by wap, platform: Firefox

关键问题是
1 windows 的版本新 Linux 和 Mac 的版本旧，导致数据库不通用
2.Windows 上 Keepass + 那个 HTTP 的server + 浏览器插件好用，但是 LINUX 和 mac 上不好用只能手工贴

keepassx 2.0已经支持.KDBX了。但还是那句话，功能简陋。
我还真是一直用手工贴:D

作者: beterhans 时间: 2014-4-9 22:10

引用:

原帖由 Kuzuryuusen 于 2014-4-9 21:58 发表
posted by wap

keepassx 2.0已经支持.KDBX了。但还是那句话，功能简陋。
我还真是一直用手工贴:D

这.... 你能忍受手工贴... 我也没啥好说了
:D :D :D 那我用 evernote 存放密码不是一样.:D

作者: Kuzuryuusen 时间: 2014-4-9 22:18

posted by wap, platform: Galaxy Nexus

引用:

原帖由 @beterhans 于 2014-4-9 22:10 发表
这.... 你能忍受手工贴... 我也没啥好说了
:D :D :D 那我用 evernote 存放密码不是一样.:D

evernote毕竟不是专干这个的，缺少诸如密码生成、剪贴板清空等必要功能。我的总体思路是存储和同步完全分离。
只用手工贴还有个好处，keepass会超时自动关闭数据库，可以减少入驻内存的时间窗口。

作者: 不是他 时间: 2014-4-9 23:26

比较不重要的密码才放lastpass，重要点的放keepass，最重要的密码用软件随机出来，然后背下来

作者: momo. 时间: 2014-4-10 04:58

posted by wap, platform: UC

反正等两天再看

作者: 小文 时间: 2014-4-10 06:51

所以还是1password的模式好啊。。。

作者: 潜水小马甲 时间: 2014-4-10 08:35

posted by wap, platform: GOOGLE (Nexus 5)

http://blog.lastpass.com/2014/04/lastpass-and-heartbleed-bug.html?m=1

作者: 蛇酱 时间: 2014-4-10 08:50

账户上是有多少钱要那么复杂的密码保护？

作者: eva3d 时间: 2014-4-10 09:49

posted by wap, platform: Nintendo (WiiU)

刚才去lastpass给加上了google两步验证

作者: ccf1st 时间: 2014-4-10 09:53

表示这种密码管理软件纯属多此一举。。。跟钱有关的密码和email多设几个复杂的密码就够了。其他论坛的密码不用复杂，让他偷。

作者: figure09 时间: 2014-4-10 10:39

都在哀嚎个什么 Lastpass账户密码又不是明文传输用https传输加密过的的信息前几楼给的官方Blog不是写了么，如果你用检测工具检测lastpass网站，结果会显示14年4月8日早之前lastpass是有问题的，但是数据传输是传通过私人Key加密过的数据。
“LastPass utilizes OpenSSL for HTTPS/TLS/SSL encryption and we were therefore “vulnerable” to this bug. For anyone who was using this tool: http://filippo.io/Heartbleed/#lastpass.com to check whether LastPass was vulnerable, it would have shown that we were vulnerable until this morning, when we restarted our servers after the patched OpenSSL software update.

However, LastPass is unique in that your data is also encrypted with a key that LastPass servers don’t have access to. Your sensitive data is never transmitted over SSL unencrypted - it’s already encrypted when it is transmitted, with a key LastPass never receives. While this bug is still very serious, it could not expose LastPass customers’ encrypted data due to our extra layers of protection. On the majority of the web, user data is not encrypted before being transmitted over SSL, hence the widespread concern. ”

4月9日更新：如果你的账户内存储的网站可能受到漏洞影响，Lastpass还会主动警告你
Update: April 9th

LastPass now alerts you if the sites stored in your vault may be impacted by Heartbleed. See our new blog post for more details: http://blog.lastpass.com/2014/04 ... your-sites-are.html

[ 本帖最后由 figure09 于 2014-4-10 10:43 编辑 ]

作者: zek2255 时间: 2014-4-10 10:40

我就没想明白，各大牛逼厂商还会用开源的openssl？
省钱吗？

作者: EraserKing 时间: 2014-4-10 11:05

LastPass用户建议运行一次安全检查
会提示哪些站点已经更新了证书建议去改密码哪些站点暂时不用管

作者: beterhans 时间: 2014-4-10 16:45

posted by wap, platform: iPhone

引用:

原帖由 @zek2255 于 2014-4-10 10:40 发表
我就没想明白，各大牛逼厂商还会用开源的openssl？
省钱吗？

个大牛逼厂商都用开源的 linux
确实省钱

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)