V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
aisaaceinstein
V2EX  ›  信息安全

Lastpass 又被爆漏洞是否说明基于游览器的密码管理拓展是不安全?

  •  
  •   aisaaceinstein · 2017-03-24 17:25:39 +08:00 via iPhone · 2991 次点击
    这是一个创建于 2804 天前的主题,其中的信息可能已经有所发展或是发生改变。
    “ LastPass ……安全人员发现在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个漏洞,可能会导致用户在使用该组件的过程中泄露密码。这几个漏洞都是谷歌 Project Zero 团队的安全研究人员 Tavis Ormandy 发现的。其中一个漏洞影响到 LastPass 的 Chrome 扩展,另外两个则是针对 Firefox 的。 Ormandy 称该扩展程序上有可利用的内容脚本,允许攻击者从管理器中提取密码,还可以执行受害者设备上的命令。"

    LP 最近又被爆出安全漏洞,但是很快就被修复。

    1.那么这类软件是否依然安全呢?或者说与离线+网盘 sync 这一种方式相比,哪个更安全呢?

    2.还有前段时间的 1p 的问题,影响是什么呢?是不是不用 1p 的服务器同步就可以避免呢?

    3.“如果加密文件的主密码足够复杂,那么就不用担心加密文件泄露被破解。”
    如果某网站的原始密码足够复杂、足够长(例如 16 位大小写加数字?),那么即使泄露,但是不是明文的,是不是就不用担心被破解呢?

    希望专业人士消除这些疑惑。
    SpicyCat
        1
    SpicyCat  
       2017-03-24 18:43:15 +08:00
    1. 没有绝对的安全。安全和便利是矛盾的,绝对的安全带来的是绝对的不便利。很多情况下我们需要一个折衷的手段。具体到
    Lastpass 和 离线密码管理器+网盘同步这个情况来说,那肯定是后者安全,但是也就没有了 Lastpass 的便利。
    2. 不用 1password, 不清楚。
    3. 说的是主密码,不是被管理的某网站的密码。 Lastpass
    数据库中存的也是加密后的数据,且不可逆。风险在客户端中。

    合理的做法是跟钱有关的密码不要用 Lastpass 存储,要么自己记,要么用 Keepass 等离线开源的密码管理器。
    Lastpass 的作用更多在于帮你记密码,并且能很容易做到一站一密。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1505 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 23:55 · PVG 07:55 · LAX 15:55 · JFK 18:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.