LastPass 安全嗎？

01-05

在他網站上保存了我幾乎所有的密碼，如果lastpass被脫褲，我們存放在他那裡的密碼會泄露嗎？

這玩意兒還好，我一般用來保存我隨便註冊的網站密碼，影響個人隱私和重要許可權的還是自己弄個強密碼為妙，lastpass之前被入侵過兩次(我所知的)不過貌似他只給用戶公開過一次被入侵然後建議更換lastpass登陸密碼

感謝 @堯思齊對極密盾產品的提及。感謝在友商的討論話題中對我們的讚賞。藉此風水寶地，我們只談一下極密科技和極密盾的有關內容。

是的，如其所述，極密科技自2014年成立以來，歷時3年，我們共研發出3代產品。JM1A，JM1B，極密盾k2（關於這3款產品線介紹：密碼管理器硬體--極密盾產品線介紹 - 知乎專欄）。目前在京東、淘寶都有銷售。

正如思齊總結的5點所述，立項伊始，我們就在思考著如下的問題，以期滿足互聯網用戶的安全訴求，下面針對這5點我們展開來談一下：

1、你的密碼就握在你自己手中。

用戶通過app/pc客戶端把數據存在極密盾中，手機和電腦只是個操作終端，關鍵的賬號密碼這些重要資產都是存在設備里由用戶自己掌握，客戶端沒有任何留存記錄。

2、密碼的存儲隔絕任何網路，物理上的隔離。

是的。極密盾不能聯網，封閉式系統，使用時通過藍牙/usb和app/pc建立安全通道，通道開啟後，才開始進行登錄密碼的認證，通過指令與設備進行數據交互。安全通道建立過程和https類似。

並且，你的賬號密碼只能通過極密盾查看（極密度有防窺屏，鋼化玻璃，用手機錄像是花屏的），ios/android/pc只是個發出命令的操作設備（我們將其稱其為上位機）。

3、存儲密碼的地方不會受到病毒的威脅。

由於傳輸層採用通道加密技術，在藍牙/usb層根本無法進行旁路監聽偷窺（藍牙設計上是2米內有效，超過2米無法鏈接，以防止黑客在遠處虎視眈眈的竊聽）；輸入層面採用了銀行級的安全鍵盤，防鉤子防木馬，病毒無法竊取錄入的任何信息；甚至錄屏攻擊我們都考慮到了，用戶可以開啟映射鍵盤，對照極密盾上的鍵盤（每次呼出，隨機排列鍵盤布局），在app/pc上對照輸入（app/pc上就是一堆按鈕，後面我會補充一個截圖給大家腦補）。

4、密碼要經過高強度加密。

是的，我們採用了獨立的安全晶元，數據得到了安全可靠的加密，所有密鑰永不出盾。我們甚至獲得了國家密碼局頒發的國密證書：sjk1591；以及通過了信息產業信息安全中心頒發的EAL4+認證。

5、存儲密碼的設備丟失後可以自毀。

丟了沒關係，別人撿到後，需要先知道您的極密雲賬號密碼並進行登錄（如果蘋果的appleid），輸錯6次即鎖定id，即使碰巧拿到了，接下來還需要正確輸入開機密碼，這裡輸錯六次開機密碼，極密盾中的數據立即鎖定，同時鎖定的還有usb口，無法嘗試聯機通信暴力破解，唯一可嘗試的就是重置，但重置的代價就是數據自毀。

6、補充一點：關於數據安全，丟失設備和手機如何解決數據問題

作為你本人，忘記開機密碼也沒關係，通過你註冊時的極密雲賬號驗明正身後（如蘋果的appledid機制），可對極密盾解鎖重置，當然代價是一樣的，即使你自己重置也會盾中銷毀數據。

但請別擔心，只要你有良好的使用習慣，使用時經常備份（使用pc端則備份在電腦上，使用app則備份在手機中，備份數據是經過盾的加密備份，無法破解；另客戶端會有提醒備份的機制，且在升級固件時會進行強製備份），極密盾重置後，雖然內部數據銷毀了，還可通過數據恢復功能恢復回來，要注意的是，需要憑重置前的極密盾備份密碼進行驗證，通過後才可恢複數據。這個備份密碼一機一密，是盾中自行生成的，我們廠商根本就無法拿到。

另外，如果擔心手機丟失，備份數據一起丟失，可以通過在設置中開啟雲同步，將備份數據上傳到您個人的極密雲空間中，這樣以來，即使手機和極密盾都丟了，只要記錄了備份密碼，換個手機，再買個極密盾，仍然可以把數據恢復回來。

至於別人撿到了沒關係，他不僅不能拿到你的數據，無法重置解鎖，而且也無法綁定到他自己的手機上使用，只能幹瞪眼無從下手。

7、補充第二點：極密盾是個活的設備

關於這一點，我們實際上和小米的方案相同，每周都在開發迭代新功能，通過固件升級功能，將其推送給用戶，升級固件以體驗。

8、補充第三點：大容量，支持pc端代填了

不同於u盤移動硬碟的存儲空間概念，極密盾默認可存儲100組賬號密碼，100組記事；最多可擴充至500組賬號密碼，500組記事；另，我們近期實現了pc端的代填技術，方便用戶在pc端對大型網站的登錄使用需要。

最後說一句，看到極密盾在知乎中被提及，真的很欣慰，產品開發了這麼久，產品線在不斷的擴充，並且得到了用戶和市場的認可，我們很開心，也希望借這個平台，能為大家提供更好的產品和服務，及時獲得用戶的反饋和聲音。作為一家以用戶安全立命的廠商，自證安全這個真不知道該怎樣去解釋，只能靠我們的合作夥伴背書以及國家密碼局認證等資質來試圖是您信服。

憑著一顆熱切的心，希望能得到大家的認可而已。畢竟以安全為名的廠商，如果自留後門，偷竊用戶數據，以這樣的居心做企業肯定是做不長的；以用戶為本，才能走的長遠，您說是吧？如果產品介紹中有不合適的地方，或者對安全未解釋清楚的，歡迎提意見，我會繼續補充。

事以密成，語以泄敗。請給我點贊以資鼓勵，好嗎？

囧……你點擊了它、你要求它顯示密碼，於是它才顯示的啊，難道題主希望點擊「顯示密碼」後跳出來個提示：「不行！就不告訴你密碼！」才滿意嗎？

LastPass 採用的安全技術，詳見：https://lastpass.com/whylastpass_technology.php

這樣的安全程度，沒人敢說萬無一失，但我相信對很多人來講，可以接受。

為了回答這個問題，我們先來分析一下密碼泄露的情形及原因。

1、密碼過於簡單，被列舉法直接猜中。

這個不解釋，不懂得自行搜索「暴力破解」進行腦補。

2、密碼被鍵盤記錄木馬、截屏木馬記錄。

這就是盜號木馬的原理。不解釋，自行腦補。

3、密碼的明文在傳輸過程中被抓取。

QQ消息在傳輸過程中是加密了的，但是有很多區域網聊天工具不一定是加密了的，還有一些企業內部即時通訊工具不一定是加密了的。明文發送時抓抓網路包直接截取密碼。有些網站提交的密碼是明文發送的。

4、密碼的秘文在傳輸過程中被抓取並被破解。

這個就是加密強度不夠，被破解了。

5、密碼的明文在內存中被抓取。

只要輸入密碼，那麼密碼都會以明文的形式在內存中出現。盜號病毒可以注入到需要輸入密碼的應用中直接將密碼取走。這就是支付寶、網銀等需要安全控制項的原因。安全控制項採用一定的手段使得不能被注入，或者注入後取到的密碼不對。對於密碼管理軟體也是一樣的，密碼需要輸入然後加密存儲，密碼也需要解密然後顯示；這些過程中都有泄露的風險。

6、密碼的秘文在內存中被抓取並被破解。

這個同上理，加密被破解而已。

7、密碼在伺服器上的數據中被黑客直接拖走。

11年csdn 600萬密碼被泄露一事就是這種情形，這些密碼中的明文密碼就直接泄露了而密文沒有。這裡的密文是不可還原的，準確的說叫做信息摘要。通過某種演算法將密碼變換為定長的一段字元串，這段字元串叫信息摘要，可以理解為密碼的特徵碼；這個變換過程的逆過程是不存在的，也就是不能從信息摘要獲取原始信息。這就是如果忘記密碼網站不能把舊密碼告訴你的原因，因為網站也不知道你的密碼，它只存儲了信息摘要。現在的技術能保證不同的信息的摘要碼不同，登錄時比對的其實是信息摘要。

但是密碼管理雲就不能使用這種不可逆變換，因為你託管在密碼管理雲上的密碼仍然需要查看使用。密碼管理雲只能採用可逆的變換演算法，既然可逆，黑客就可能給逆向解密了。此外密碼管理雲不可避免需要在服務上進行解密操作，那麼很有可能遇到上述第5條和第6條的風險。

8、伺服器上的信息還遭受伺服器管理員一時疏忽、玩忽職守、監守自盜等情況的威脅。

那麼lastpast之類的密碼管理雲服務和軟體的安全性自然不辯自明了，它們都不安全。安全的密碼管方案要做到如下幾點。

1、你的密碼就握在你自己手中。

2、密碼的存儲隔絕任何網路，物理上的隔離。

3、存儲密碼的地方不會受到病毒的威脅。

4、密碼要經過高強度加密。

5、存儲密碼的設備丟失後可以自毀。

唯有專用的密碼管理硬體能做到這幾點，幸運的是緣創派上有人發布了符合上述條件的項目個人賬號密碼安全管理器。只期望能夠早日上市。

-------------------------------------------------------------------------------------------------------------------------------------------

這個項目確實黃了！但是有另外一個項目——極密盾——做出產品了，要解決的問題是一樣的。極密盾出第一款的時候，我就買了，當時只有ios app，也沒有windows客戶端，只有通過極密盾的網頁將需要輸入的內容轉換成二維碼，然後掃碼輸入到設備。（也就是說通過攝像頭進行輸入）

現在已經有了 Android windows IOS 管理軟體，windows通過usb與設備通信，ios和android通過藍牙與設備通信。通信中傳輸的數據只有密碼分類信息，密碼還是要在設備上輸入的。也就說密碼只在設備上存儲、加密、解密、顯示。設備本身也由密碼保護，丟了也沒事。

我已經把自己的重要密碼都存到這個設備上了。密碼隔離在這個小設備上完成所有業務，不用擔心安全問題。不過設備有點小貴，300多一個。

我個人是不願意使用這樣的東西的自己掌握的才好。當然咯這個一直都是業務與安全的問題。還是那句老話：你想爽，就不要怕老婆知道：）

2015年6月16日，Lastpass發生泄密事件，向用戶發送了一封郵件：

Dear LastPass User,
We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.
We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.
We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.
Regards,
The LastPass Team

機器翻譯如下：

「我們想提醒你，最近我們的團隊在網路中發現並立即阻止可疑活動。所幸，加密的用戶庫數據沒有泄漏，但是其他的數據，如電子郵件地址和密碼提醒已被泄露。

我們確信，我們使用的加密演算法可以充分保護我們的用戶。為了進一步確保您的安全，當用戶從一個新的設備或地址登錄使用lastpass時，我們需要通過電子郵件驗證並將提示用戶更新他們的主密碼。

我們為給您帶來的不便表示歉意，但最終我們相信這將更好地保護LastPass的用戶。謝謝你的理解，並使用LastPass。」

個人的理解是：

lastpass：「我們被黑啦，不過放心，你保存在我這裡的密碼好好的沒事，不過那些郵箱帳號ID和密碼提示就沒那麼好運了。對不起呀，我就是泄密了。」

綜上，密碼還是自己記吧。。。

放心！只是你點擊的時候臨時顯示一下而已，密碼本身還是加密保存的。

起碼比你自己臨時想的那些簡單的密碼，還有幾十個網站用的同一個密碼安全得多。

而且LastPass是本地RSA256加密的，即使官方伺服器被爆或者內部人員監守自盜理論上也不會有事。

建議配合Yubikey的OTP功能使用，主密碼強度也要足夠高，盡量隨機密碼，像兒子生日狗狗名字這些就別用了。最重要是設置自動退出賬號，不要保存密碼。

拋開病毒木馬等因素，lastpass是安全的。

lastpass會在伺服器保存你的密碼數據，但保存的都是密文，通過你的master key(就是登陸lastpass的密碼)使用AES-256加密。lastpass不會在伺服器儲存你的master key，官網有這麼一段話:

LastPass is never sent your Master Password, so we cannot send it to you or reset it for you.

來源: I forgot my Master Password or itamp;#x27;s not working, how do I recover access to my account?

換句話說，即使lastpass被拖庫，黑客只能拿到AES-256加密過的密文，可能還會拿到伺服器上的salt，但黑客無法還原出原本的master key，也就無法解密數據。

所以想要提高lastpass的安全性，需要保證以下兩點:

主密碼強度足夠高，最好是大寫+小寫+數字+特殊字元
保證本機的安全性(木馬截獲密碼等因素)

當然，還有個不可控的因素就是它本身存在漏洞，在加密之前密碼就被截獲，不過這種可能性很小。安全和便利永遠都是相對的，看你怎麼做取捨。

LastPass付費用戶，一直是啟用Google驗證器，PC記住主密碼。近日PC重裝系統後Google瀏覽器安裝lastpass登陸賬號時提示輸入主密碼，時間太久了看著自己設置的密碼提示怎麼也想不起來了。筆記本送人前格式化了，手機上設置退出註銷，絕望之際發現iPad上設置了記住主密碼退出不註銷還可以登錄。登陸後設置里有修改主密碼但還是要輸入舊主密碼。

求助iPad上導出主密碼或一次性導出全部站點密碼方法。

Solidot | 研究發現密碼管理工具的嚴重安全缺陷
Solidot | LastPass密碼伺服器遭入侵

猜測題主是擔心周圍人員的泄露，那麼這不是Lastpass的對象。

它是對數據加密保護，但如果有一人偷偷等你登陸了，點開看你的密碼，那確實無能為力。

那麼，那些個密碼你還是自己記吧。

據說使用AES256加密手段，不過貌似據斯諾登的透露，AES好像也有後門，這樣的話，貌似就不安全了