TGFC Lifestyle - Powered by Discuz! Board

标题: LastPass被黑了，你们怕了么？ [打印本页]

作者: jun4rui 时间: 2015-6-16 16:55 标题: LastPass被黑了，你们怕了么？

posted by wap, platform: Chrome
果然，这种鸡蛋放在一个篮子里面的做法还是很危险啊，十几年前就有专家论证过，用一个密码保护整个密码本其实是非常危险的，这种情况今天终于发生了。

目前来看能放心的只有手机APP二次验证了，貌似Steam已经在Beta测试手机APP+邮箱+帐号密码三次验证了，这样你光知道密码也没用，你必须能同时拿走我的手机和黑掉我的邮箱才行

作者: EraserKing 时间: 2015-6-16 17:07

怕啥
你没开两步验证么
密码告诉你你也用不了

作者: Running82 时间: 2015-6-16 18:20

很多时候，拿走我的手机，就意味着掌握了我的邮箱了。。。

作者: jiangst 时间: 2015-6-16 18:21

posted by wap, platform: nubia Z7 Max

引用:

原帖由 @Running82 于 2015-6-16 18:20 发表
很多时候，拿走我的手机，就意味着掌握了我的邮箱了。。。

为何？？

作者: 蚁力神 时间: 2015-6-16 18:56

posted by wap, platform: iPhone
求高手把我的1password黑掉，社会工程学的办法亦可

作者: ccf1st 时间: 2015-6-16 19:01

没事儿，我们还有keepass，是这么拼不

作者: 原始恶魔 时间: 2015-6-16 19:05

自己拿个小本本记下来那不就行了

作者: yaoyuef 时间: 2015-6-16 19:12

posted by wap, platform: Galaxy Note III
lastpass又不是被黑一次两次了，有二次验证怕什么，改个密码继续用

方便和安全通常相互矛盾，找到适合自己的平衡点就好了，lastpass至少能保证每个网站有不同的强密码。

作者: Kuzuryuusen 时间: 2015-6-16 19:38

posted by wap
所以我认为密码存储应当与同步分离。详细看我的旧文：http://club.tgfcer.com/viewthread.php?tid=6676540

作者: coin1860 时间: 2015-6-16 20:07

LastPass表示，该公司的信息安全团队在对“可疑活动”进行调查后发现，其网络被黑客攻破。不过在调查中，没有任何证据表明攻击者从用户密码库中窃取了加密数据，也没有获取用户的帐户信息。

不过，攻击者可能窃取了用户帐号的电子邮件地址、密码提醒信息，以及用于认证的哈希信息。根据这些信息，攻击者有可能猜出较弱的用户主密码。

应该是只是黑了LastPass的用户的密码，网站密码估计是对称加密。简单的密码还是可以暴力对撞获取。

作者: 長瀬湊 时间: 2015-6-16 20:23

密码都经过处理以后存在加密的excel文档里面，然后保存在私有云里面，不知道是不是够安全了

作者: murrina 时间: 2015-6-16 22:38

posted by wap, platform: 华为荣耀3C
密码这东西，我都是写在纸上放家里抽屉里，写的时候用最简单的规则人工替换一下。

入户偷东西的小偷看到这种也基本不会去用。
感觉比数字存储安全些，用起来还更方便。

作者: eva3d 时间: 2015-6-17 00:19

posted by wap, platform: iPhone
毫不担心
有两步验证
那个16位强加密主密码都懒得去改

作者: oversleep 时间: 2015-6-17 00:31

posted by wap, platform: iPhone
这东西是如何被破解的？我只知道1password是保存在自己云端的加密文件里，lastpass这东西难道是保存在他们服务器上的？那如果它们服务器挂了我全部密码都没了？

本帖最后由 oversleep 于 2015-6-17 00:33 通过手机版编辑

作者: allen24 时间: 2015-6-17 11:17

posted by wap, platform: Firefox
只有我直接存在gnotes里么 233

作者: lijgame 时间: 2015-6-17 11:24

posted by wap, platform: Samsung
所以我是keepass2+dropbox，比起lastpass这种显眼的目标，有人专门黑我的可能性太低了

作者: vermilion 时间: 2015-6-17 14:19

posted by wap, platform: 小米红米 NOTE

引用:

原帖由 @oversleep 于 2015-6-17 00:31 发表
这东西是如何被破解的？我只知道1password是保存在自己云端的加密文件里，lastpass这东西难道是保存在他们服务器上的？那如果它们服务器挂了我全部密码都没了？

本帖最后由 oversleep 于 2015617 00:33 通过手机版编辑

本地也有一份，也可以定期导出，还能导入到keepass里去

作者: yaoyuef 时间: 2015-6-17 14:42

lastpass的密码也是在本地用你的主密码加密后再上传到服务器的，所以本地有一份，lastpass的主要功能也可以离线使用

这次泄露是泄露了邮箱和主密码提示，加密密码库没泄露。但其实现阶段就算加密密码库泄露也没什么问题，因为没法破解，但可能以后技术进步了能破解。
再提一下密码提示，lastpass靠一个主密码管理，如果你忘记主密码了只能通过这个密码提示回忆，真想不起来这号就等于废了，lastpass也不知道没法帮你找回。

[ 本帖最后由 yaoyuef 于 2015-6-17 14:48 编辑 ]

作者: fatehe 时间: 2015-6-17 17:27

那国家不是分分钟拿到你的密码？

作者: 总是注册不成功 时间: 2015-6-17 18:13

posted by wap, platform: HTC Incredible
不怕，我的密码都手抄在本子上压床底下。

作者: jjx01 时间: 2015-6-18 01:33

站长之家（Chinaz.com）6月16日消息近日，LastPass公司发布公告称，公司旗下在线密码管理服务遭未知黑客攻击，并强调目前用户密码库中的数据并无任何被盗迹象，但LastPass用户的邮箱信息、密码提示、及身份验证的hashes信息均存在被盗用风险，目前影响范围尚未确定。

LastPass官方表示，由于他们加密技术的“多重防护”，其复杂程度难以快速被破解，足以保护大多数用户的信息安全。同时，他们也正着手于采取进一步的措施来提高数据的安全性。

为防万一，官方还建议LastPass用户尽快重置密码。除非已开启多重身份验证，否则用户通过新设备、新IP登录账号都需多一道验证邮箱程序。

最后，Lastpass官方还称，用户密码库中的信息并未泄露，用户并不需要重置保存于LastPass库中的密码。

作者: 一只纯猪头 时间: 2015-6-18 10:01

lastpass主要是方便
因为是服务器帮你保存,所以同步啊什么的都不用担心了(除非被墙...)
而且是商业开发,各种浏览器插件比较齐全,方便自动登陆什么

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)