LastPass 又又出现数据泄露了

他们说的是只要用户确认自己的主密码是安全的，那信息就是安全的。
翻译过来就是：我把你的保险库弄丢了，但只要你的钥匙不丢，它们就是安全的。

一直觉得 1Password 没有 LastPass 好用，本来还想 1P 到期后换过去...

密码还是手抄安全。。。

@ccccqqq #2 密码保存在别人的服务器上都一样

你以为爆出来安全问题的服务商不安全，实际上从来没爆出过安全问题的服务商也不安全
当然，还有一堆被脱裤还说自己没泄露的那种是最不安全的

这些在线密码管理器都存在风险
所以我用 keepass ，只存本地

@fawkes 本地也没法保证安全，可能已经被泄露了自己也不知道的。

关注

搬到 1password 几个月了，本来还有一些老的密码存在 lastpass ，想到可能偶尔会查一下，今天完全受不了了，导出所有密码然后删除账户。

好早就切换到自建 bitwarden 了， 老是出事谁敢继续用

LastPass 是怎么做到重置密码的？

我是今年从 lastpass 换到 bitwarden 的,lastpass 都脱裤几次了,今天上半年也有一次,实在受不了了

怪不得我收到它发过来的邮件。虽然我看不懂。

好吧，虽然我一直在用他，看这阵势感觉也该换了，请问一下替代品有啥，1password 收费，bitwarden 没用过不知道咋样，keepassxc 本地的，同步感觉稍微有点麻烦，手机端也有点问题，大家是怎么解决的

用了自建 Bitwarden 一段时间，感觉除了好多网页不自动弹出保存窗口需要手动添加项目之外都挺好的。

最好还是自己建个表格文档管理

@ccccqqq 为什么 1Password 没有 LastPass 好用？我两个都有用但是觉得 1Password 用户体验好；听说 1p 也更安全

KeePass 看戏

keepass+坚果云 感觉还行

自建 bitwarden ，rclone 每天备份。

@MindMindMax 不存在绝对的安全，各人根据自身情况选择。本地，自己 100%掌握，保护措施自己完善，损失自己负责，要我把密码存在无法知根知底的第三方服务器上，没门

@dingwen07 LastPass 重置只能找回帐号，没法找回 valut 。valut 只能从你登录过的其它设置重新导入。

LastPass 一直“数据泄露”但是竟然没有看到有用户报怨真的丢了密码，也是诡异。

我也用了 lastpass 好几年了，1Password 也合租过一年但用不惯，今年也开始尝试了 keepass+坚果云 --> bitwarden 官方库，最近也再考虑在白群晖上自建 bitwarden ， 话说 1Password 也可以自建吗？

1p 买断版本，数据库存在 iCloud 。
安全性这玩意，随它去吧。
泄露就认了。

@Mutoo #21 证明 lastpass 说的只要用户的主密码在用户自己手上没漏出去就不怕是有几分道理的呗

@MindMindMax 在这个层面上在线的密码管理器其实也一样，因为密码库肯定要拉取到本地缓存，也就是说在线密码管理器从某种意义上来说里面也包含了一个“本地”的。纯本地的密码管理器少一个在线部分的风险点，相比在线的可以说是安全一些。

同 1p 买断版本数据存在 icloud 使用体验还是不错的

我觉得用本地的更靠谱一些，比如 keepass ，同步的话就用同步盘。
即使你的同步盘信息泄露了，keepass 文件仍然需要使用你的管理密码才能打开。

1p 目前还是很舒服的。

@MindMindMax 除了#25 说的本地本来就有一份的问题外，在线服务商存了大量密码库对黑客来说更有价值

举例子就是一车悍匪不会考虑抢我荷包里的十块钱，肯定是去抢银行金库

@liuzhaowei55 没毛病 就是这么设计的

密码当然要存在本地

我就用的谷歌浏览器的密码管理器 0.0.。。。

@baleeny +1

密码这东西还是要靠专业的软件来管理

谷歌的密码管理管不了信用卡，ssh key 之类的东西

果然 密码还是忘记了最安全

最安全的还是自建 bitwarden ，VPS 上 docker 开一个就行，资源占用也不太高。

lastpass 被脱库只是泄露了所有的 vault 。
而如果你用 1password ，然后 vault 在云上贵州，那么你的 vault 本身就是被脱的，如果在 iCloud ，那么你的 iCloud 密码就是 vault 被脱的最后一道防线。
如果你用自建 bitwarden ，那么你的库的安全性同样取决于它被放在哪里。

总之一句话，如果你的 vault 主密码是安全的，那么继续用 lastpass 并没有什么安全问题，因为你的库早晚会被扒，而主密码就是使得你的库被扒了也白扒的坚固防线。

@wdhwg001 难得有个思路清晰的回复。
楼上好多回复都是觉得“自己发明的加密方法比公开的更安全”这样的模式

@dingwen07 好像是改 master password 就会重算一次

@yushiro lastpass 的最大问题在于，如果它最终被攻破，那么一定是通过它的某次投毒自动更新，或者远程网页端登录页被劫持，或者读写 vault 逻辑中的某个代码执行漏洞被发现之后，通过攻陷远端向客户端分发带有触发漏洞的 vault ，导致客户端被劫持。

上述三个问题对于更新迭代非常频繁的 lastpass 和 1password 来说都是不容忽视的，所以推荐不要更新它们过于频繁，推迟几周是比较稳妥的，而拥有第三方服务器端实现的 bitwarden 则相对而言不那么容易受影响。

把资料都保存到云端真的好吗？我还是用 keepass 吧

@baleeny 我也是。。。感觉足够用了

自建 Bitwarden 三年了, 目前为止还是很香, 推荐一下.

用了十几年 lastpass ，从发现它的部分服务器被墙开始就意识到确实比其它几个要安全(￣▽￣)"

放在互联网上都不太安全，即使是自建的 bitwarden ，服务器安全问题+配置问题都有可能导致丢失。
还是放在本地稳妥。

放云端就是为了多端同步。为了安全自建在家用服务器上也可以，但相当于在自用服务上开了外网访问端口。
我放在 vps 上，磁盘开了 LUKS ，同步备份用 GPG 公钥再加密一遍。vaultwarden 开了 2FA 。想脱裤就要跑到服务商那用 RAM dump 再破解密码。vps 加固挺重要的。

已经注销账号了

早就自建 bitwarden 了 ，并且早年清空了 lasspass 。

现在连谷歌和 edge 的密码存储我都放弃了。

老老实实用 keepass.