有用户怀疑Lastpass主密码发生泄漏，Lastpass否认

acalephs

最近有些用户发现有人试图用正确的主密码登录自己的Lastpass，怀疑Lastpass的主密码库发生了泄露。
Lastpass表示他们没有泄露，这些是用别家泄露的密码库做撞库攻击。
保险起见还是改下主密码，开启两步验证吧

Litccc

还好我已经注销了

Realplayer

我连卡巴斯基带的密码管理都不用

布拉德莱恩

赶紧上去把号注销，最后一步报错，但再登录时被提示邮箱地址不对，这应该是注销成功了吧？

宵神乐

我密码都不记得了 连上都上不去
虽然也没保存什么密码就是了 还是本地的密码管理靠谱

huzhiyangqaz

lastpass 之前有过密码泄露的劣迹吧

我是早转 1password 保平安了

chachi

keepass不好吗
让别的供应商管理你的主密码也太心大了

cosx

泥潭反买

216kk

只信得过保存在本地的

rp1993

明年到期不再续用了····
有什么好的替代么？

暁美ほむら

无所谓，反正就没保存过什么重要账号密码，而且早就不用LP了

13号

用bitwarden。 方便，够用，不放心还可以自己搭服务器。

冰痕

keepass的路过

yourSwaTer

上次收费时候注销了

—— 来自 OnePlus GM1910, Android 11上的 S1Next-鹅版 v2.5.2

Processed

我只相信自建的bitwarden

强尼高达

布拉德莱恩 发表于 2021-12-29 13:37
赶紧上去把号注销，最后一步报错，但再登录时被提示邮箱地址不对，这应该是注销成功了吧？ ...

成功了
我昨天也是这个结果

hgfdsa

自己租个ecs，手写密码存放服务，数据加密后自动云盘备份

11--

rp1993 发表于 2021-12-29 14:53
明年到期不再续用了····
有什么好的替代么？

keepass

软件自身的插件用两个
一个onedrive同步的。可以把本地密码库在onedrive指定文件夹中同步
一个keepass-rpc。是为了与浏览器进行交互。浏览器的插件名字记得就叫kee，一个倒三角图标，火狐和chrome都有该插件。

手机端ios不清楚，安卓使用的app叫keepass2android。能直接链接到onedrive路径下的密码库。

—— 来自 OnePlus KB2000, Android 11上的 S1Next-鹅版 v2.5.2-play

Anoneko

为什么大家喜欢自托管呢，除非硬件是本地的，不然云环境一样没法避免密码库“在别人手中”的情况呀，还增加了单点问题

lhw369

Anoneko 发表于 2021-12-29 16:42
为什么大家喜欢自托管呢，除非硬件是本地的，不然云环境一样没法避免密码库“在别人手中”的情况呀，还增加 ...

我硬件是自己的啊。我有公网IP。

—— 来自 HUAWEI LIO-AN00, Android 10上的 S1Next-鹅版 v2.5.2

maritimus

Anoneko 发表于 2021-12-29 16:42
为什么大家喜欢自托管呢，除非硬件是本地的，不然云环境一样没法避免密码库“在别人手中”的情况呀，还增加 ...

密码库也是加密的呀，云环境主要是同步比较方便

chachi

rp1993 发表于 2021-12-29 14:53
明年到期不再续用了····
有什么好的替代么？

https://bbs.saraba1st.com/2b/for ... ;page=4#pid50367699

骆宾王

电脑上我是全用edge浏览器的了。。。

bubuyu

从1password转向自建bitwarden了

Nanachi

我手机上也用edge浏览器带的填充功能

starrin

我也用的bitwarden，服务器架在自家nas上

boday

11-- 发表于 2021-12-29 16:26
keepass

软件自身的插件用两个

随手补充：iOS 上我用的是 KeePassium 感觉不错。Android 上我也是用的 Keepass2Android。

acalephs

Anoneko 发表于 2021-12-29 00:42
为什么大家喜欢自托管呢，除非硬件是本地的，不然云环境一样没法避免密码库“在别人手中”的情况呀，还增加 ...

云环境只托管加密的密码库，不像lastpass还需要保存主密码。

flmu

11-- 发表于 2021-12-29 16:26
keepass

软件自身的插件用两个

iOS有个国人写的奇密app

mj0017

自托管的一样需要用账号密码登录,泄露了还没有两步验证保护

chillicez

mj0017 发表于 2021-12-30 11:23
自托管的一样需要用账号密码登录,泄露了还没有两步验证保护

用个不起眼的本地文件做密钥啊，谁会拿要登陆的帐号密码来保护

zeax

所以是说其实没泄漏？

s1-5-5

自己手写密码最安全回归传统

乔槁

mj0017 发表于 2021-12-30 11:23
自托管的一样需要用账号密码登录,泄露了还没有两步验证保护

bitwarden自托管也能开两步验证。

而且对攻击者来说，破解自托管的收益太低。

莫夜戎

bitwarden自己架服务器解决一切

乔槁

天网 发表于 2021-12-30 19:55
自架服务器是啥意思，还得自己租个服务器？

Bitwarden有个低占用的社区版（vaultwarden，原本叫bitwarden_rs，规避商标冲突改名了）。
社区版带宽、内存占用非常低，便宜的垃圾VPS也能跑。于是阿里腾讯云的1M带宽学生机，各种10美元1年廉价机就派上用场了。

除了服务器，能跑docker的NAS也能用，就是外网需要配合DDNS。