LastPass 的密码库泄露了，还在用的同学建议尽快采取措施

不如直接 1Password

下午已经删了帐号，原因写的是 data leak...
删除前导出数据也是很难用

用了好几年，后来收费了限制移动端，我就转投微软 authenticator ，现在全部上 edge 。国产这边本来想用 360 ，但是他们不支持多端密码同步，嗯…

从浏览器拓展删除中文的时候就删除账号了。

之前我就删号了, 现在不重要的我直接写 csv, 重要的用脑子记同一个复杂密码

我也收到过两次邮件，英文没看懂。原来是秘密泄露了。如果我很懒去搬秘密的话，改主秘密是不是可以解决？

@MeteorVIP 并不能……攻击者拿到了 LastPass 的数据库，你改主密码只能对今后的数据生效。如果此前你的主密码不够安全，比如在别的网站使用过或者是弱密码的话已经无济于事了

还好我看到八月份的新闻后把 lastpass 上的密码都删了。之前不用好久了，但是一直没删除内容。这下怕是 lastpass 要破产了。

泄露了数据库，但主秘密没有泄露。黑客需要猜到我的主秘密才能解密出我所有的秘密，对吧？

@MeteorVIP 是的

感觉这家 都成密码泄露常客了？

明天研究下 bitwarden

但是，你们一定没有上 Twi 看。有圈内相对有威望的人研究了这玩意的本地存储。结论是：密码的元数据（ URL 名字，和所谓的 Secured Notes) 都没有加密存储，只有用户名和密码是加密的。懂点社工的可能现在已经意识到问题了。

我重点想提的是: URL 里可能有的 Token/SessionID; Secure Notes 里潜在的 2FA Recovery Code/密保问题答案等等。

虽然我强烈推荐 bitwarden ，但人家这篇 blog 明显说的是之前那次泄露的调查进展。。可见有多少人不懂英语 /不仔细看内容

联网的都不如 keepass

家用 nas 架设 bitwarden 服务，感觉很好用

@patrickyoung 我确实没有上 Twitter 看，因为我没有在用了，所以没有特别关注。LastPass 的公告里说 Security Notes 是加密的
The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data.

刚刚上 Twitter 看了一下，找到的也是说 Secure Notes 是加密的，你看到的推文能指路个链接么？
URL 这个确实是问题，URL 也可能包含敏感信息。

LastPass 的安全事故都快成月经问题了……到现在还没倒闭也挺命硬的了。
我也曾经是付费大冤种，后面客户端摆烂之后就全数迁移到自建 Vaultwarden 了。

LastPass 和很多主流密码库一样都是本地加解密机制，理论上云端服务器上只存储加密后的数据，所以理论上只要主密码不被人撞库就没问题。

身为 lastpass 大冤种
现在还在使用它的唯一原因就是拖延症......

我虽然也是家里 nas 搭了 bitwarden ，但我也还在同时用 lastpass 。。。。感觉我像个。。。。

前两个月已经删除账号并且迁移到 bitwarden ，主要是受不了每次上线都要重新登陆

记得以前就看过这家的新闻。。。。

还是要尽快把密码库里面的密码改了，从重要的先开始。

@libook 为什么主密码不加上谷歌的二次验证码呢?感觉这样更加安全

@MeteorVIP 本地加解密方式跟动态密码可能不兼容，因为密文是确定的。动态密码可能更适合登录，而不是给固定密文解密。
lastpass 的安全事件是密文泄露，绕过了登录环节，动态密码可能根本不起作用。