这是一个创建于 810 天前的主题,其中的信息可能已经有所发展或是发生改变。
原因:
- 两周前数据泄漏,源代码被盗,翻了下历史,这不是 LastPass 第一次出现安全问题了;
- 大概也是两周前,部分用户遇到无法取消自动续费、无法删除账号的问题。其中无法取消自动续费的问题,两周前已经有用户在官方论坛报告了,官方到现在仍未解决;
- 官方没有邮件客服,而电话客服不支持用户使用+86 手机号码接听,因此需要客服人工帮助时会比较麻烦。
第 1 条附言 · 2022-08-28 22:32:35 +08:00
根据各位 V2exr 的推荐,和我自己查到的,稍微整理了一下(排名不分先后,可能有错漏):
一、自建
1. bitwarden
2. vaultwarden (一个用 Rust 写的 bitwarden 服务端)
3. KeePass
4. KeePassXC
( KeePass 相关的还有个 KeePassX )
二、非自建
1. 1Password
2. SafeInCloud
3. Chrome 自带的密码存储
4. Dashlane
一、自建
1. bitwarden
2. vaultwarden (一个用 Rust 写的 bitwarden 服务端)
3. KeePass
4. KeePassXC
( KeePass 相关的还有个 KeePassX )
二、非自建
1. 1Password
2. SafeInCloud
3. Chrome 自带的密码存储
4. Dashlane
第 2 条附言 · 2022-09-02 07:45:50 +08:00
北京时间 2022 年 9 月 1 日收到 LastPass 的邮件说,之前无法取消自动续费的 bug 已修复,我试了确实可以取消了。
另外,补充 v2exr 推荐的密码管理 app:
Enpass
另外,补充 v2exr 推荐的密码管理 app:
Enpass
 |
1
nishuoshenme 2022-08-28 14:10:33 +08:00  6
换了吧,试试 bitwarden 和 keepass ,一次出现安全问题还说的过去,多次出现就真的没什么好说的了
|
 |
2
Marionic0723 2022-08-28 14:11:54 +08:00 via Android
lastpass 两步验证不能通过手机号发验证码,但是绑定的时候是可以收到验证码的,还好我有备份软件数据不然真把我锁死了,这东西确实变难用了。
|
 |
3
lingaolc OP @nishuoshenme 嗯嗯,已经换了,LastPass 知名度很靠前,谁知道这么多问题,希望其他人别踩坑吧。
|
 |
4
dcsuibian 2022-08-28 14:15:40 +08:00
keepass 和 bitwarden 再加一分,不要钱而且数据在自己手里。
个人目前在用 keepass ,程序员美感,但功能是真的强大。 |
|
5
lingaolc OP @Marionic0723 这几年用下来,感觉 LastPass 没啥太大的长进,web 管理界面一如既往的不够直观,app 端有些操作步骤依旧不顺手。
|
 |
6
ltkun 2022-08-28 14:19:10 +08:00 via Android 2
一切自己的数据上私有云 公有云服务不可靠
|
 |
10
wolfmei 2022-08-28 14:26:26 +08:00 1
一直用 1pass
|
 |
11
F798 2022-08-28 14:35:37 +08:00 via iPhone 4
私有云只会更不可靠,只是没人盯上你而已
|
|
12
Marionic0723 2022-08-28 14:36:12 +08:00 via Android
@lingaolc 何止没长进,都开始开倒车了,以前有中文,后来砍了;以前电脑手机双端登录,现在也砍了,还只能三次机会更换,那个验证码的问题是三月份发现的,到现在还没修好,以前就听说被黑了,现在还是,我是不敢用了。
|
 |
13
wu67 2022-08-28 14:40:22 +08:00
很久之前出现过无法填充密码的问题, 后来填充按钮还各种奇怪的跟各 ui 库的清除输入按钮叠叠乐...然后我就导出密码注销账户了
|
 |
14
Cat7373 2022-08-28 14:47:05 +08:00
@nishuoshenme #1 已感谢,终于找到靠谱的东西换掉 LastPass 了
|
 |
15
yanqing07 2022-08-28 15:06:59 +08:00
这产品收费后就转战了 bitwarden 。而且,lastpass ios 还被墙了,果断放弃。
|
 |
16
uudj 2022-08-28 15:40:13 +08:00 via iPhone
私有云三个字感觉听起来都不安全。
|
 |
17
supercaizehua 2022-08-28 16:21:48 +08:00 via iPhone
很早之前就注销了,转 bitwarden 了
|
 |
18
imrei 2022-08-28 16:29:06 +08:00
在用 KeePassXC ,最近考虑换 MacPass ,bitwarden 有点纠结,毕竟联网直接对接,安全程度还是 keepass 最佳
|
 |
19
emberzhang 2022-08-28 16:58:53 +08:00 1
@F798 不容易被盯上就是一种巨大的安全优势啊。。。要被三体人盯上啥可靠技术都白搭
|
 |
20
securityCoding 2022-08-28 17:09:42 +08:00
试试 safeIncloud
|
 |
21
zzzmode 2022-08-28 17:47:47 +08:00
早已注销换 vaultwarden 了
|
 |
22
gdgoldlion 2022-08-28 19:37:36 +08:00
Chrome 用户,用 Chrome 存密码,电脑手机都可以用,iOS 也可以直接调用 Chrome 密码。目前未发现问题
|
 |
24
bigwhite1 2022-08-28 20:08:22 +08:00
好吧,这就去把 lastpass 给注销了。其实 lastpass 用着还行,没中文、只能一个设备用对我都没啥影响,但是存在密码泄漏风险这个问题不能忍。可惜我这不也不是程序员不会自建,搞不动 1#说的咋弄,算了,不重要的密码就保存在浏览器上,重要的密码都自己手输吧。。。
|
 |
25
Tyuans 2022-08-28 20:29:55 +08:00
还好我删号删的早
|
 |
26
liuzhaowei55 2022-08-28 20:38:05 +08:00 via Android
正在把 1pass 转 keepass
|
 |
27
nyxsonsleep 2022-08-28 20:47:29 +08:00
@gdgoldlion 明文存密码,这就脱离了密码安全的范畴吧。
|
 |
28
24 2022-08-28 20:47:44 +08:00 via Android
@F798 我的方案是 keepass 密码+文件 key ,坚果云同步密码库,文件 key 从未进过公网,请教这方案有啥漏洞吗,除非电脑中毒文件 key 被搞走+记录了我的密码库密码,否则我真不知道还有啥能破我密码库。
|
|
29
24 2022-08-28 20:49:11 +08:00 via Android
@24 不是挑衅,主要是想知道有没有什么安全弊端好改进我的方案。这个我感觉是在安全跟方便中折中的比较好的选择,加硬件 key 感觉太麻烦了。
|
 |
30
mosliu 2022-08-28 21:03:33 +08:00
vaultwarden +1
|
|
31
nyxsonsleep 2022-08-28 21:08:05 +08:00
楼上大把不懂装懂。泄漏的也是加密数据而已。
举例一个简单的方案,将一个数据库用 aes 加密之后,存储到云端,服务器根本不用存储 key ,因为 key 在用户自己手里。你偷个 aes 加密数据有什么用呢?破解几千万个不同的 key ?还是破解 aes 算法? 试试看 lastpass 能找回密码重置密码吗?恢复账户都麻烦要死。 |
 |
32
yunyuyuan 2022-08-28 21:36:31 +08:00
@bigwhite1 #24 lastpass 没限制 1 个设备啊,我家里公司都同时在线没问题,免费版的。不过我现在也注销了,换 keepassxc+坚果云了,就是每次都要启动两个软件专门做这事儿,挺麻烦的
|
|
33
lingaolc OP @dcsuibian 发现 KeePass 不少人推荐,以前只听说 bitwarden ,我试试 KeePass ,谢啦!
|
|
34
gdgoldlion 2022-08-28 22:49:08 +08:00
@bigwhite1 lp 没有限制设备数,限制的是桌面端移动端二选一,而且只能改三次。为了逼用户充值。
@nyxsonsleep 什么叫明文密码啊,登录网站当然要登录明文,储存时不会存明文。至于本地查看密码,谁家都是解密出来看的。本地想看密码也没那么容易,桌面要过 windows hello ,手机要过 face id 。 |
 |
35
clouddd 2022-08-29 00:00:15 +08:00 via iPhone
Elpass 蛮好用的 不过貌似只在苹果生态内用
|
 |
36
Lather 2022-08-29 00:01:17 +08:00
這個垃圾我幾年前就不用了。一個有語言歧視的插件,本身功能沒做好收錢比誰都在乎。
|
 |
37
itzamana 2022-08-29 00:16:22 +08:00
KeePassXC 挺好用的,UI 也舒服
|
 |
38
haikouwang 2022-08-29 00:33:55 +08:00 via Android
@lingaolc 弄大厂服务器 定期 snapshot 就没事
|
 |
39
guazila 2022-08-29 00:34:36 +08:00 via Android 2
@24 要注意一下输入法软件,比如在安卓端,恶意输入法搞到了系统储存权限和联网权限(默认都是给的),那么你的主密码和密码库都能被获取并传走。
还有就是文件 key 的问题,按你的说法文件 key 没上公网,那就是没有云备份,虽然可能性很小,但是万一所有文件 key 备份全都失效....我的文件 key 是一个 windows 系统文件,只要你安装某个版本的 win 系统,那个文件就肯定在那里。 |
|
40
haikouwang 2022-08-29 00:35:44 +08:00 via Android
@F798 就是没人盯上这一点就很安全了啊
|
|
41
haikouwang 2022-08-29 00:37:04 +08:00 via Android
@emberzhang 对的 这点跟想的跟你一样
|
 |
42
Les1ie 2022-08-29 00:37:37 +08:00
听闻 lastpass 又一次出事,前两天赶忙把 lastpass 的账号“彻底”删除了 https://lastpass.com/delete_account.php
用了半年多的解决方案: Windows/Linux: KeepassXC + 坚果云客户端 Android: Keepass2Android + 坚果云 webdav IOS: 奇密(付费,12 元)+坚果云 webdav 体验很好,唯一的担心是几个客户端的安全性,毕竟要是遇到个投毒的那我的全部密码和 TOTP 就和盘托出了 :) |
 |
43
zhaogaz 2022-08-29 00:41:46 +08:00
KeePassXC 在用,自己想办法同步一下就行了。。。目前用下来,全平台都 ok ios 有软件也可以 安卓也行
|
|
44
nyxsonsleep 2022-08-29 00:46:56 +08:00 2
@gdgoldlion
多多少少属于对密码安全毫无概念了。没有公私密钥对,说明肯定不是非对称加密。 那就是对称加密,那么 key 是什么呢?难道是用户密码?但是 chrome 有在任何时候要求输入“主密码”了吗? 还是说 chrome 破解了 windows 用户密码来使用,或者说 windows 有 api 可以提供密码?前者荒谬可笑,后者就是无稽之谈了,如果有这样的 api ,破解 windows 密码明文的工具早就满天飞了。 就提一点,复制用户文件到另一台电脑,的另一个用户下,照样能用。这不是“明文”是什么呢? chrome 密码就放在一个 sql 数据库立,密钥就在 json 文件里面,输不输用户密码只是一个安慰剂而已。 chrome 开源版本的密码算法写得清清楚楚。前几天还有人在 v2 里发 chrome 明文存密码呢,甚至不知道这已经是 10 年前的老新闻了。 |
 |
45
Fixedsys 2022-08-29 01:23:07 +08:00
keepass + 坚果云,无敌!
|
 |
46
Ray95 2022-08-29 08:25:20 +08:00 via iPhone
1password 用了 5 年了,已经习惯了,最近换成了家庭版。还有 2 位置,需要的联系 tg:MarioYounger
|
 |
48
sampeng 2022-08-29 09:35:59 +08:00
1password 用得比较好,主要是体验方面,这么多非自建的一个能打的都没有。从公布的安全信息来说,就算泄漏也只是泄漏加密的密码。咱们都是研发,哪个脑残的做密码产品的把用户密码保存在服务端?但是。。。凡是有但是,你把源码泄漏了就有点扯了。理论上所有代吗都有漏洞,开源的是有所有人盯着漏洞去快速解决。闭源的被找到路由就要完蛋,这确实是不应该。
反正我不相信我自建的可靠性会比云端的可靠性强,除非付出足够多的成本。低成本的高可用从概率上说都是可以一锅端。 chrome 之类的就不用扯了,本地密码库和本地用明文存文件管理密码没啥太大的本质区别。对有安全要求的,基本没啥意义。 |
 |
49
ciki 2022-08-29 09:54:18 +08:00
由于受不了不停的让登录已经转自建了
|
 |
50
ccppgo 2022-08-29 10:21:28 +08:00
keepass (密码+密钥) + 坚果云 webdav
|
 |
51
zi 2022-08-29 10:51:29 +08:00
bitwarden 挺好用的,已经跟 lasspass 同时用三个月了,基本常用的站都过渡过去了,打算再过三个月把 lasspass 卸掉
|
|
52
gdgoldlion 2022-08-29 11:04:33 +08:00
@nyxsonsleep
说了半天,绕来绕去,原来你在纠结本地加密保存,然而通过 masterkey 解码这种梗 你要那么理解也没问题 玩梗没什么好争论的 》提一点,复制用户文件到另一台电脑,的另一个用户下,照样能用。 简单复制这招早就不行了,本机都要验证 sid ,何况是换机 |
 |
53
6i3BMhWCpKaXhqQi 2022-08-29 11:12:57 +08:00 1
Enpass 可能也是个选项
|
|
54
6i3BMhWCpKaXhqQi 2022-08-29 11:13:32 +08:00
@wolfmei 1password 现在不支持 standalone 的 vault ,一定要放到他的 cloud 上。
|
 |
55
journey0ad 2022-08-29 12:43:33 +08:00 1
用啥密码管理器问题都不大,密钥不上传理论上泄露也破解不了
但别用 chrome 系和 firefox 浏览器自带的记住密码,基本等于明文 https://github.com/moonD4rk/HackBrowserData |
|
56
nyxsonsleep 2022-08-29 14:02:41 +08:00
@gdgoldlion
对对对,你的本地密码太安全辣。 |
|
57
nyxsonsleep 2022-08-29 14:06:19 +08:00
@gdgoldlion 说话的逻辑就颠三倒四。
“什么叫明文密码啊,登录网站当然要登录明文,储存时不会存明文。至于本地查看密码,谁家都是解密出来看的。”谁说的?被戳穿了又开始自我安慰,原来你还在纠结本地密码。尬中尬。 “本地想看密码也没那么容易” https://github.com/moonD4rk/HackBrowserData ,现成的工具。 |
 |
58
tufu9441 2022-08-29 14:13:23 +08:00
用过几年 1Password ,后来不想续费了,索性转到免费的 Bitwarden (非自建)。
|
 |
59
libook 2022-08-29 14:49:30 +08:00
LastPass 是个老牌密码管理器,在刚出来的时候,是非常能打的,还支持中文本地化,所以它能积累很多口碑推荐。
但几年前就开始摆烂了,彻底放弃了中文本地化,一堆自动填写的适配问题不改进,还有一堆安全负面报道。 我曾经是 LastPass 的付费用户,后来自动填写几乎不可用的时候,就换了 Bitwarden ,刚好自己也攒了 NAS ,就开始私有化部署,用的是第三方的 Bitwarden-rs ,后来这项目改名成了 Vaultwarden ,用到现在至少三年了吧。 Bitwarden 自建愿意支持官方的话可以用官方的服务端,非自建也可以用官方在线服务。 |
 |
60
HOU 2022-08-29 14:51:18 +08:00
Bitwarden 官方 + 导出本地备份,以前折腾自建,现在懒得弄了
|
 |
61
iwdmb 2022-08-29 15:28:40 +08:00
Enpass+1
买断价格便宜 |
 |
62
rabsicBot 2022-08-30 11:06:27 +08:00
谢谢安利,准备换 bitwarden
|
 |
63
CSGO 2022-08-30 17:22:30 +08:00
Bitwarden 自建,被盗的风险有多大?
|
 |
64
x2ve 2022-08-30 23:20:00 +08:00 via iPhone
说一下我目前的做法,自个写了个专门解密加密的页面 自定义 key 也不怕泄露 然后生成的密文放到记事本或者网盘 真大厂
分布式备份 想看随时能看 就是没工具自动填写方便 |
 |
65
cco 2022-09-01 14:30:49 +08:00
目前用 enpass ,主要是便宜,永久版。体验比不上 1p ,但是价格能中和一下体验不佳带来的感受。
|
 |
66
LuoboTixS 2022-09-01 15:05:03 +08:00
@libook Lastpass 不只是摆烂,可能其团队已经没有什么全职开发者了。
它的安卓客户端有个非常经典的弱智 bug 拖了好几年不修,就是如果账户注册填的邮箱使用小写(一般都这样),然后自己在安卓上登陆时输入的用户名邮箱地址用了大写,那么可以登陆进去,但是在读取 Vault 时会不停报错并提示 Invalid Password 。解决方案是退出登陆,改填小写邮箱地址 https://community.logmein.com/t5/LastPass-Mobile-Apps/Invalid-Password-Android-New-Device/td-p/224913/page/2 https://www.reddit.com/r/Lastpass/comments/hek8sj/invalid_password_issue_android_10/ |
 |
67
liuidetmks 2022-12-30 11:02:34 +08:00
没有删除帐号的选项,我改了密码,40 位的主密码。随他去泄漏吧
|
|
68
lingaolc OP @liuidetmks 应该有的,试着找一下,我前两个月已删除账号,完全弃坑
|
 |
69
littlesubgirl 2023-03-03 16:48:54 +08:00
lastpss10 年用户,已经转战 enpass 。数据泄露一次就算了,两次不可饶恕。想把 lastpass 里面的数据删除,可登录提示已经超过三个设备,把其他设备删除掉,目前仍旧无法在网页管理数据,提示设备数量到了上限。哎。里面的数据目前想不到好办法删除。
|
Select Language