 |
1
phyng Jul 12, 2014
默认是不勾选记住主密码的,而且我记得以前勾选这个选项会有严重的警告,但是现在测试好像没有警告了
|
 |
2
ghostinthewild Jul 12, 2014
那个记住密码的勾从来都不打,要不然如何体现last pass这个名字
|
|
3
phyng Jul 12, 2014
其实最让我吃惊的是,登录后默认可以复制任意站点的密码不需要输入主密码,设置里面可以更改
|
 |
5
abcdabcd987 OP @sandtears safari/chrome 都没有
|
 |
6
jsonline Jul 12, 2014 via Android
这很正常啊,有什么问题吗?
不要让它记住密码不叫好了。 审查元素能看到密码这是再正常不过的了。 |
|
7
jsonline Jul 12, 2014 via Android
不过如果能在显示密码前强制你再输入一遍密码就比较安全了。
|
|
8
abcdabcd987 OP @jsonline
我觉得问题在于,不应该提供记住密码的服务,这明显跟他自己的宣传标语相违背嘛。当然啦,审查元素能看到密码,这我知道。 在显示密码前再输入一次密码,嗯这可能是个折中的方案,因为既要保证使用方便,又要保证安全。那搞个特殊的 token 或者 hash 值如何?这样就本地就没有保存密码,但是又可以直接登入了。 |
 |
9
edgar Jul 12, 2014
- -。lastpass可以设置两步验证,还有其它一堆辅助验证的东西。
|
|
10
jsonline Jul 12, 2014
@abcdabcd987 你本地不存明文密码是无法登录那些网站的。 LastPass 的推荐用法是:
自己不要再想密码了,全部采用 LastPass 生成的乱码作为密码。 只记住主密码。 这样就算你密码丢了,也影响不大。 主要的坑在于它这套做法在手机上太不方便了。 |
 |
11
sdysj Jul 12, 2014
这种情况本地来说还算正常,不过最好像mega.co.nz那样利用local storage和js aes保存比较安全。。。
|
 |
12
dndx Jul 12, 2014
LastPass 本来也是把 Vault 缓存在本地的,如果浏览器安全都不能保障,那么 LastPass 就没有任何安全性可言,就算看不到 Master Password 也能直接把 Vault 给 dump 了。
|
|
13
sdysj Jul 12, 2014
还有最近有利用webrtc拿到内网信息的大exploit,不用在线电话的最好都装下这个chrome插件。
https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm?hl=en-US |
|
14
abcdabcd987 OP |
|
15
jsonline Jul 12, 2014
@abcdabcd987 LastPass 有提供自动退出功能,你可以设置空闲10分钟就自动退出登录。
|
 |
16
SoloCompany Jul 12, 2014
这完全看不出有什么问题,每个人对安全和便利性的理解和要求都不一样,软件没有必要剥夺用户的选择权。如果你用的是自己的电脑,并且基本上只有你自己才会接触的,有必要给自己设置这么多屏障吗?
在公用电脑上还点击记住主密码的,那就是逗比行为,况且人家默认也没让你选中啊。我的建议是,位置比较安全的电脑,可以选择一直记住主密码(实际上就依赖你的电脑的keychain安全性了);退而其次的,可以选择每次浏览器启动时提示;至于10分钟就自动忘记的,你不嫌麻烦也可以这么干 |
 |
17
Tink PRO 两步验证
|
 |
18
c742435 Jul 14, 2014
@abcdabcd987 不行。很多软件的自动登入功能并不记住主密码,而是记住一个类似cookie的东西,从而并不明文存储你的主密码。但实际上,其安全性并不比记住主密码强多少:攻击者依然只需要传输这个cookie就可以登入该软件。对攻击者来说,相比记住密码,记住cookie唯一的不便是,无法直接在登入界面输入密码就登入该软件。
lastpass的所有信息都是由你的主密码直接加密,从而解密也必须要使用到主密码。因此,自动登入必须存储主密码。 |
Select Language