Lastpass是一個優秀的在線密碼管理器和頁面過濾器,采用了強大的加密算法,自動登錄/雲同步/跨平台/支持多款瀏覽器。
我之前一直都在使用這個工具,不過都是在瀏覽器上以擴展的方式使用,在火狐瀏覽器上擴展可以正常使用,不過有時候還是會出現各種各樣的問題,比如不能正常登陸到服務器等等。今天我在谷歌瀏覽器上面想要安裝這個擴展試試,發現居然在谷歌商店中找不到這個擴展了。無奈,在網上搜索了一下,我最后在Lastpass官網上面下載了一個安裝版的來用,
下面是高級選項,可以進行各種設置,比如可以自定義要安裝的瀏覽器等等。
然后安裝即可。
下面是在谷歌瀏覽器上的界面:
lastpass保存的密碼都是在服務器上的,有人說保存在服務器上的都不安全,其實也不是,因為他上傳到服務器之前都是經過加密的。不過我發現網路上有人說lastpass已經不再安全,被黑客攻破之類的。用不用lastpass見仁見智。不過使用起來真的是蠻方便,而且相信最新版本的安全級別應該可以。也就是我上面使用的安裝版而非擴展的形式安裝。
在線密碼管理器LastPass被黑客攻破。原文:http://www.williamlong.info/archives/4267.html
摘要:LastPass的網絡上周五被黑客攻破,攻擊者可能竊取了用戶帳號的電子郵件地址、密碼提醒信息,以及用於認證的哈希信息。根據這些信息,攻擊者有可能猜出較弱的用戶主密碼。LastPass聲稱,雖然加密的用戶數據庫在攻擊中被盜走,但並沒有跡象表明用戶賬號遭到不法分子的登入。
據LastPass官方博客介紹,上周五LastPass的網絡被黑客攻破,該公司的信息安全團隊在對“可疑活動”進行調查后發現,沒有任何證據表明攻擊者從用戶密碼庫中竊取了加密數據,也沒有獲取用戶的帳戶信息。
不過,攻擊者可能竊取了用戶帳號的電子郵件地址、密碼提醒信息,以及用於認證的哈希信息和個人Salt信息。根據這些信息,攻擊者有可能猜出較弱的用戶主密碼。
LastPass聲稱,對自己的加密措施非常有信心,它足夠保護大部分的用戶。LastPass的哈希認證采用隨機因子以及服務器端的PBKDF2-SHA256算法進行了10萬個循環,而並非在客戶端執行,這使得根據被盜的哈希值進行解密的難度大為增加,也就是說,被盜走的哈希會遭到攻擊,但不會那么快。但是,根據這些信息,攻擊者有可能猜出較弱的用戶主密碼。
對於這次安全事故,LassPass已經向所有用戶發送了郵件通知,LastPass建議,該服務的所有用戶都需要設置新的主密碼,此外,所有從新設備或新IP地址登錄帳號的用戶都需要通過電子郵件去驗證身份。如果用戶在其他網站里使用了和LassPass主密碼相同的密碼,應該也將這些密碼進行修改。
由於用戶的密碼庫並沒有被盜取,因此用戶沒有必要修改LassPass密碼庫中的密碼,向往常一樣,LassPass強烈建議用戶開啟兩步驗證功能,為LassPass賬戶提供額外的保護。
LastPass這次安全事故對於一個專門從事於安全領域的公司來說是致命一擊,最具諷刺意味的是,專門從事密碼保護服務卻被黑客來了個一鍋端,用戶將自己最重要的密碼保存在這個網站上,結果反而增加了安全隱患,那么用戶就只能放棄這個服務,或許,將最重要的密碼(例如網銀和支付密碼)記在腦子里,可能才是最安全的。
相對於本地密碼管理來說,LastPass的主要特點是方便,多台電腦和手機可以同步密碼,用起來方便,但這也帶來服務器端系統被攻擊的可能性,建議使用LastPass一定要開兩步認證,網銀和支付密碼不要放在LastPass里。
LastPass是當前最熱門的密碼保管服務之一,免費為用戶保存多個網站的密碼,做到自動登錄各個網站。
再說一個我使用Lastpass導出功能遇到的問題。想說導出Lastpass的密碼到KeePass中使用,不過我最開始使用的是谷歌瀏覽器,導出的時候遇見一個問題就是不能直接導出文件,而是以網頁的形式顯示密碼文件中的內容。下面是我百度到的解決方法:
你用google插件或者直接在google瀏覽器的web端打開就只會出現這樣的情況,有兩種方法可以直接保存成csv:
1.直接將顯示出來的所有文字復制下來,在word里把所有逗號替換成制表符,然后再全選復制粘貼到excel里,再另存為csv就可以了(注,這個辦法在office 2003好像不管用,得用2010)
2.下載firefox瀏覽器,安裝lastpass插件,用這個插件可以直接導出csv文件,相對於上一種辦法,這個更簡單,只是需要安裝一下firefox瀏覽器和插件而已。
- 提問者評價
-
謝謝!
個人不擔心,還是會繼續使用,后面會介紹KeePass的使用。