V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bellchu
V2EX  ›  分享发现

LastPass 被黑了 呵呵

  •  
  •   bellchu · 2015-06-16 08:11:02 +08:00 via iPhone · 9476 次点击
    这是一个创建于 3443 天前的主题,其中的信息可能已经有所发展或是发生改变。
    虽然官方说已经Block非法闯入,没有数据外泄. 但是我还是觉得数据已经泄露.
    81 条回复    2015-06-17 13:45:31 +08:00
    Kahn
        1
    Kahn  
       2015-06-16 08:15:50 +08:00   ❤️ 1
    收到邮件了

    Dear LastPass User,

    We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.

    We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.

    We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.

    Regards,
    The LastPass Team
    ibugeek
        2
    ibugeek  
       2015-06-16 08:20:40 +08:00
    幸好没用....
    ChiangDi
        3
    ChiangDi  
       2015-06-16 08:23:41 +08:00   ❤️ 3
    我一直对这种鸡蛋放到一个篮子里的做法非常不放心
    missdeer
        4
    missdeer  
       2015-06-16 08:35:17 +08:00
    呵呵,密码管理这块真不好做啊
    9hills
        5
    9hills  
       2015-06-16 08:37:09 +08:00 via iPhone
    邮箱和密码提示泄漏了,加密密码库也泄漏。

    但这个又不是第一次,没什么,反正解不开。
    jamesxu
        6
    jamesxu  
       2015-06-16 08:38:38 +08:00
    去年也有过一次
    processzzp
        7
    processzzp  
       2015-06-16 08:46:41 +08:00 via Android
    @missdeer 像这种已经做大了的在线密码管理肯定是树大招风了,天知道多少人盯着在。只要成功黑掉一次价值太大了。
    然而我用KeePass ( ̄┰ ̄*)
    sfz97308
        8
    sfz97308  
       2015-06-16 08:48:20 +08:00
    密码放在远端还是不行啊,还是放在本地吧
    wy315700
        9
    wy315700  
       2015-06-16 08:49:54 +08:00
    看1P怎么利用这次机会
    can
        10
    can  
       2015-06-16 08:50:00 +08:00
    密码会被尝试破解,但解开应该没那么快,等解开的时候算法已经变了。被发现的攻击都只能让被攻击方改进的更安全。

    攻击方着眼小的话就是拿走部分人的密码,大的话就是分析算法。我觉得不用担心,注重安全的人密码终究会改的,不注重安全的人密码始终不安全。
    paradoxs
        11
    paradoxs  
       2015-06-16 08:51:30 +08:00
    没收到这个邮件,我是开启了google二步验证的。。
    hewigovens
        12
    hewigovens  
       2015-06-16 08:54:01 +08:00
    刚收到邮件, No encrypted user vault data was taken 这个为什么他们能肯定
    stiekel
        13
    stiekel  
       2015-06-16 09:03:26 +08:00
    LastPass多年用户,一般的网站,都是用它生成密码保存登陆。
    seadir
        14
    seadir  
       2015-06-16 09:05:33 +08:00 via iPad
    1password会不会再次趁机降价促销呢?拭目以待
    somkanel
        15
    somkanel  
       2015-06-16 09:08:16 +08:00
    为什么我没收到邮件……
    br00k
        16
    br00k  
       2015-06-16 09:09:14 +08:00
    @paradoxs 一样,我也开启了。去邮箱查看并没有收到邮件。。
    skyline75489
        17
    skyline75489  
       2015-06-16 09:10:29 +08:00
    KeePass +1。 LastPass 目标实在太大,有黑客盯着也正常
    crazycen
        18
    crazycen  
       2015-06-16 09:10:44 +08:00 via Android
    我也是lastpass老用户,我倒是不担心,也没什么重要数据,也没什么不雅视频…无利可图也… 光脚的不怕穿鞋的…
    kemikemian
        19
    kemikemian  
       2015-06-16 09:12:26 +08:00
    改了密码了已经,吓一跳
    yyfearth
        20
    yyfearth  
       2015-06-16 09:13:10 +08:00
    @hewigovens 从运维角度分析 因为存放的服务器不一样
    一般情况 分析服务器的log可以知道服务器是否被非法入侵
    估计他们发现账户的数据库被入侵了 但是存放密码的服务器没有入侵的迹象
    所以可以这么说 虽然也不能100%肯定没问题 但是入侵不留下任何痕迹是非常困难的
    LazyZhu
        21
    LazyZhu  
       2015-06-16 09:17:32 +08:00
    @can 现代版阿Q...
    9hills
        22
    9hills  
       2015-06-16 09:17:52 +08:00 via iPhone
    @yyfearth 加密密码库也漏了吧。

    只是目前的计算机水准解不了,何况每个账户的密码都不同。
    yyfearth
        23
    yyfearth  
       2015-06-16 09:19:35 +08:00
    @9hills 我是回复如果“No encrypted user vault data was taken”这句话的成立的情况
    egen
        24
    egen  
       2015-06-16 09:32:33 +08:00
    奇怪我也没收到通知邮件
    can
        25
    can  
       2015-06-16 09:35:15 +08:00
    @LazyZhu 我还是觉得注重安全的人密码终究会改的,不注重安全的人密码始终不安全。
    chenshaoju
        26
    chenshaoju  
       2015-06-16 09:35:17 +08:00
    云泄漏什么的……

    用KeePass的表示自己手动同步密码数据库,脱机备份。
    LazyZhu
        27
    LazyZhu  
       2015-06-16 09:38:28 +08:00
    @chenshaoju 密匙和密码库分开备份
    wuxiao2522
        28
    wuxiao2522  
       2015-06-16 09:40:58 +08:00
    开了谷歌的二次验证,是不是可以妥妥的了?
    yangtukun1412
        29
    yangtukun1412  
       2015-06-16 09:45:38 +08:00
    一直没敢用,果然出事了

    还是花密好点...
    moname
        30
    moname  
       2015-06-16 09:45:38 +08:00
    @wuxiao2522 同问
    LazyZhu
        31
    LazyZhu  
       2015-06-16 09:45:52 +08:00
    bruce55
        32
    bruce55  
       2015-06-16 09:45:56 +08:00 via Android
    唉。。改密码改密码
    gauzeehom
        33
    gauzeehom  
       2015-06-16 09:52:31 +08:00
    @wuxiao2522 同问,这种情况风险大不大?
    likea
        34
    likea  
       2015-06-16 09:57:05 +08:00
    “ 您上次更改您的 LastPass 主密码是在 1270 days 前。” 。。
    zixincao
        35
    zixincao  
       2015-06-16 10:01:19 +08:00
    还是本地的靠谱一点
    tony1016
        36
    tony1016  
       2015-06-16 10:01:48 +08:00
    算了,随他去吧
    Havee
        37
    Havee  
       2015-06-16 10:11:47 +08:00
    密码库没有被泄露,其他的数据,包括电子邮件、密码提示这些,都已被泄露。

    这么大的问题,人家没必要扯谎,觉得不安全的,或觉得密码提示容易被破解的,去修改主密码与主密码提示,还觉得不安全的,去将电子邮件也改掉,即可。
    imlonghao
        38
    imlonghao  
       2015-06-16 10:13:58 +08:00 via Android
    没事,就算丢了他也解不开我的密码,我也不是有价值的目标
    zjuster
        39
    zjuster  
       2015-06-16 11:15:20 +08:00
    @seadir 跟我想到一块儿去了...
    MonkLuf
        40
    MonkLuf  
       2015-06-16 11:21:28 +08:00
    我都是直接加密后存放在Evernote里面。。。
    andybest
        41
    andybest  
       2015-06-16 11:22:54 +08:00
    "To further ensure your security, we are requiring verification by email when logging in from a new device or IP address"

    邮箱不丢就不用怕把
    bellchu
        42
    bellchu  
    OP
       2015-06-16 11:27:24 +08:00
    就等着1passwd降价了 啊哈哈哈
    timothyye
        43
    timothyye  
       2015-06-16 11:39:35 +08:00
    @likea You last changed your LastPass master password 1271 days ago. 看来我比你早注册一天,哈哈
    atao
        44
    atao  
       2015-06-16 11:45:06 +08:00
    @seadir 怎么会降价,别人不行,它应该涨价啊
    daiv
        45
    daiv  
       2015-06-16 11:50:09 +08:00
    keepass 欢迎大家的到来
    wee
        46
    wee  
       2015-06-16 12:23:40 +08:00
    好恐怖。。。赶紧看看去
    lsmgeb89
        47
    lsmgeb89  
       2015-06-16 12:34:48 +08:00
    看来主密码也要随机生成,否则还是有点危险的。
    lee015
        48
    lee015  
       2015-06-16 13:03:45 +08:00 via Android
    keepass生成的lastpass主密码+两步验证。keepass还是是稍不方便,输个密码还要另启程序输密码,不然就只用它了。
    21grams
        49
    21grams  
       2015-06-16 13:09:41 +08:00
    1password,lastpass 那个比较好啊? 貌似都是收费的?
    halczy
        50
    halczy  
       2015-06-16 13:12:18 +08:00
    继续支持LP, 1P对Linux无爱.
    xuhaotian
        51
    xuhaotian  
       2015-06-16 13:14:42 +08:00 via iPhone
    又不是第一次了,只要不公开爆库出来,我还是不介意的,忍忍还能用。
    xuhaotian
        52
    xuhaotian  
       2015-06-16 13:15:59 +08:00 via iPhone
    @21grams 我用lP,但是请慎重考虑,用惯了太舒服了…无缝化体验…搞得现在出安全问题也不想迁移数据。
    AstroProfundis
        53
    AstroProfundis  
       2015-06-16 13:36:44 +08:00
    上次 lastpass 出问题(貌似是几年前?)的时候改过密码然后加大过加密长度,当时就注意了一下,整个加密过程是在本地完成的,然后把加密后的数据上传服务器,所以目前还是比较放心的
    zhjits
        54
    zhjits  
       2015-06-16 13:42:13 +08:00
    我把 LP 的二次验证手机还原数据了……现在没办法登录
    zhjits
        55
    zhjits  
       2015-06-16 13:44:10 +08:00
    woyao
        56
    woyao  
       2015-06-16 13:55:49 +08:00
    @paradoxs 我也开了开次谷歌二次登录验证
    @Kahn 为什么我没有收到邮件?

    目前已经修改密码了……
    exit
        57
    exit  
       2015-06-16 14:17:00 +08:00
    放在chrome里安全不
    billlee
        58
    billlee  
       2015-06-16 14:54:36 +08:00
    LastPass 的数据是用主密钥在本地加密后再上传的,只要主密钥强度足够,保存的数据应该没有问题。
    根据 https://blog.lastpass.com/zh/2015/06/lastpass-security-notice.html 的说法,"that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised."
    觉得自己的主密钥不安全的,去改主密钥和密码提示。
    lsmgeb89
        59
    lsmgeb89  
       2015-06-16 14:54:40 +08:00
    @xuhaotian 我也觉得 lastpass 用起来相当方便,爽啊。现在只能改主密码和加两步验证了。
    ytf4425
        60
    ytf4425  
       2015-06-16 15:16:46 +08:00
    继续支持lastpass还有主密钥是什么鬼为什么我用它 这么多年我不知道有这玩意儿
    @billlee
    Kahn
        61
    Kahn  
       2015-06-16 15:31:43 +08:00
    @woyao 我两个账号分别在上午和下午收到的邮件。。。说不定等一等就有邮件了
    9hills
        62
    9hills  
       2015-06-16 15:37:09 +08:00 via iPhone
    @ytf4425 主密钥就是登陆密码。所有数据都是通过主密钥进行对称加密的。所以就算数据丢了,也不用担心
    ytf4425
        63
    ytf4425  
       2015-06-16 16:15:16 +08:00
    @9hills 矮油原来就是那玩意儿,刚改
    hpyhacking
        64
    hpyhacking  
       2015-06-16 16:28:23 +08:00
    竟然服务器来同步加密文件......
    lsmgeb89
        65
    lsmgeb89  
       2015-06-16 17:53:30 +08:00
    @wuxiao2522 注意保护你用于两步验证的设备。

    https://news.ycombinator.com/item?id=8541313
    xlrtx
        66
    xlrtx  
       2015-06-16 17:59:36 +08:00
    请问lastpass会记录用户保存的网站密码明文么, 或者是加密后的明文, 但是解密密钥在服务器.

    感觉要为了安全起见的话, 用户网站密码应该是加密过的, 并且密钥只有用户有, 服务器不会保存用户网站密码加密后的密钥.

    加密网站密码的密钥可以是用户的masterpassword.

    Master Pass
    +-------+-------------+------------------------------+
    | uname | master_salt | md5(master_salt, masterpass) |
    +-------+-------------+------------------------------+

    User Pass List
    +-----+----------------------------------------+
    | url | enc(website, md5(passlist_salt, pass)) |
    +-----+----------------------------------------+
    登录的时候发送masterpass 给服务器, 服务器用masterpass+master_salt验证, 之后吧passlist_salt发送给用户, 用户获取密码的时候, 就可以直接用服务器发给他的enc(website, md5(passlist_salt, pass))解密了..

    只是随便一想, 请勿judge
    maxsec
        67
    maxsec  
       2015-06-16 18:10:42 +08:00
    一直用keychain.
    xlrtx
        68
    xlrtx  
       2015-06-16 18:16:23 +08:00
    @xlrtx 第二个表是这样的, 用masterpass加密网站密码.

    url enc(websitepass, masterpass)
    bellchu
        69
    bellchu  
    OP
       2015-06-16 18:46:24 +08:00   ❤️ 1
    如果把-请求访问密码时的Time作为一个var去加密masterpass和数据,然后再上传服务器的话会不会更安全一点。

    上传的时候在本地保存一个 lastClientAccessTime,在服务器端也生成一个lastServerAccessTime。
    当用户需要从服务器下载数据到本地时也需要本地的lastAccessTime去match服务器上数据的lastAccessTime才可以下载。 配合公钥私钥,应该会比较放心。

    当用户需要从一个新设备上获取并同步服务器数据的时候,需要手机,邮件等验证方式才可获取lastAccessTime和数据,类似于忘记密码的恢复机制。
    feikaras
        70
    feikaras  
       2015-06-16 19:39:51 +08:00
    一直只用iCloud keychain
    billlee
        71
    billlee  
       2015-06-16 20:22:12 +08:00   ❤️ 1
    @bellchu 你这样验证 lastAccessTime, 那有多台设备的用户怎么办?

    @xlrtx LastPass 用主口令通过 PBKDF2 导出密钥,用户保存的口令经过这个密钥加密后才上传。服务器上没有密钥。
    bellchu
        72
    bellchu  
    OP
       2015-06-16 21:03:07 +08:00 via iPhone
    @billlee 多台设备的,其中没有最新数据的设备会被Server push一个lastAccessTime的微小的文件(或Push一个lastAccessTime的特征到主数据),用类似ActiveSync或BES的方式去管理设备间数据的同步。
    fulvaz
        73
    fulvaz  
       2015-06-17 00:13:17 +08:00
    md5 + salt可以防破,来辩我
    9hills
        74
    9hills  
       2015-06-17 00:24:54 +08:00 via iPhone
    @fulvaz md5 就不要吹了。。
    fetich
        75
    fetich  
       2015-06-17 01:21:10 +08:00
    貌似没强制我改密码。LastPass已经开启二步验证加地区限制,应当不会有问题了。
    webjin
        76
    webjin  
       2015-06-17 01:34:01 +08:00 via Android
    这是1P对LP的一次有预谋的入侵。
    somin
        77
    somin  
       2015-06-17 02:38:36 +08:00
    @zhjits 我的也是无法登陆了,密码忘记了。哎
    0x17e
        78
    0x17e  
       2015-06-17 05:58:07 +08:00 via iPhone
    1P 貌似降价了,真巧刚买好就降价😂
    Haiwx
        79
    Haiwx  
       2015-06-17 06:04:17 +08:00 via Android
    人脑才是王道。
    j717273419
        80
    j717273419  
       2015-06-17 11:20:20 +08:00
    YAFEIML
        81
    YAFEIML  
       2015-06-17 13:45:31 +08:00
    黑就黑了吧,反正没啥主贵东西,主贵的都要短信,别BB短信也不安全,有被补卡风险,没有什么是绝对安全的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3588 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 04:31 · PVG 12:31 · LAX 20:31 · JFK 23:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.