这是一个创建于 3018 天前的主题,其中的信息可能已经有所发展或是发生改变。
传送链接: http://thehackernews.com/2016/07/lastpass-password-manager.html
话说上个月才刚买的高级版,这个月就爆漏洞,,真是够了。。。
还好涉及到钱的口令都是人工记忆。
 |
1
LigeLaige 2016-08-01 14:19:09 +08:00
何不用 http://keepass.info/ 乎?
|
 |
2
ivmm 2016-08-01 14:20:15 +08:00
看了貌似说:只影响 Firefox 用户
设置了两步验证安全么? lastpass 的密码不是加密的么,拖到库了也得解密呀 |
 |
3
onice OP 补一个中文的链接: http://www.freebuf.com/news/110378.html
|
 |
5
woshinidie 2016-08-01 15:00:29 +08:00
@ivmm 笑了,这是从一个屎坑跳得另一个屎坑?
|
|
6
ivmm 2016-08-01 15:01:56 +08:00
@woshinidie 求建议
|
 |
7
DT27 2016-08-01 15:12:11 +08:00
看完了,没什么关系。。。
|
 |
8
just4test 2016-08-01 15:17:34 +08:00
不明白这和 lastpass 有什么关系。页面的 js 不安全的导致密码泄露,这锅怎么也不该 lastpass 来背。这个问题,换用哪个密码管理器能解决?
@ivmm |
 |
11
imn1 2016-08-01 15:28:29 +08:00
@woshinidie +1
这跟买理财产品其实是一样的,当物资交到别人手里,你就没有了风险控制权 如果要买,就必须相信他人的能力比你高很多,依赖信任 如果认为其风险控制能力跟自己差不多,自己却丧失控制权,那就不要买不要用 永远要有自己就是 1%, 1%。, 1ppm ……的觉悟 |
 |
12
skywalker 2016-08-01 15:33:38 +08:00
自从 lastpass 上次的事件我就删除帐号了,即使是加密过,我也不放心自己的数据放在别人的服务器上。万一解密手段升级了呢?
|
 |
13
Bairrfhoinn 2016-08-01 15:39:43 +08:00
我去,这还让人怎么放心使用它家服务,花钱了也不过如此,该出问题还是出问题。
|
 |
14
Dexter0 2016-08-01 15:40:03 +08:00
|
|
15
Dexter0 2016-08-01 15:41:08 +08:00
现在我的不是特别重要的密码都是用洋葱来管理,特别重要的都会开启二步验证,并且尽量自己记忆。
|
 |
16
icecoffee 2016-08-01 15:49:18 +08:00
@just4test 不是说 lastpass 会误判断么? 浏览器认为域名是 http://avlidienbrunn.se 但是 lastpass 会填 twitter 的账号密码
这个不是 lastpass autofill 的锅么? "By browsing this URL: http://avlidienbrunn.se/@twitter.com/@hehe.php the browser would treat the current domain as avlidienbrunn.se while the extension would treat it as twitter.com," Karlsson explained. |
 |
17
xiaoc19 2016-08-01 15:49:23 +08:00
我能确定楼上很多言之凿凿的并没有看懂文章。。。。
或者,根本只是个不懂安全的程序员罢了 |
|
18
xiaoc19 2016-08-01 15:53:19 +08:00
补一句,我指的是那些说和 lastpass 没关系的
|
 |
19
SuperMild 2016-08-01 15:54:53 +08:00
是不是说关掉 autofill 就好了?
话说我从一开始用就关了 autofill ,本来就觉得自动填不太好。 |
 |
20
cxbig 2016-08-01 16:12:47 +08:00
更加坚信 1Password+Wi-Fi 同步 的策略
|
|
21
just4test 2016-08-01 16:45:13 +08:00
@icecoffee 那是以前的 bug 了,子标题是 Similar Old Bug in LastPass Password Manager:
|
 |
22
skylancer 2016-08-01 16:47:54 +08:00
这个帖子我就看到一个完全没看懂文章的
|
 |
23
jsfaint 2016-08-01 16:56:45 +08:00
洋葱有办法导入 lastpass 么?
一个一个输入的话也太蛋疼了 |
 |
24
muziki 2016-08-01 16:58:39 +08:00
昨天才买的高级账户,就图跨平台复制密码方便一些
但是个人其实并不在乎,别人拿我的账号也没什么用 |
|
25
just4test 2016-08-01 17:10:35 +08:00
@icecoffee
@ivmm 抱歉,我弄错了。刚才没看英文原文。近期总共有两个 bug : Bug1 :该 bug 导致可以构造恶意 url ,收集任意其他站点密码。 https://twitter.com/avlidienbrunn/status/758232557829914624 Bug2 :该 bug 可以模拟点击 Lastpass 插入页面中的自动填表按钮,从而调用 lastpass api 。 https://twitter.com/taviso/status/758461726945783808 这两个 bug 都出现在自动填写密码的部分。 |
 |
26
dallaslu 2016-08-01 17:10:42 +08:00  3
真棒, LastPass 又修复了一个漏洞,高级版不白买啊。
|
 |
28
noir 2016-08-01 17:32:42 +08:00
我只用脑子
|
 |
29
coolcfan 2016-08-01 18:51:43 +08:00
任何有自动填充的密码管理器都可能出现这样的问题吧……
所以最好不用自动填充。 |
 |
30
tobyxdd 2016-08-01 19:35:30 +08:00
自动填充已关 续一年高级用户压压惊
|
Select Language