类似于 lastpass 这种软件会在服务端储存密码,虽然有加密,但使用的是可逆的算法。之前 lastpass 也被入侵过,但却没有泄露密码。
怎样储存 key 才能保证被入侵也不会导致数据泄露?
1
BOYPT 2017-02-16 14:39:08 +08:00
safe from who?
|
2
vicalloy 2017-02-16 15:04:17 +08:00
你的密码就是加密的密钥。
你每次改密码都需要把你的所有密码重新加密一次。 |
3
leafin 2017-02-16 16:03:57 +08:00 1
key 就是你的 master password ,这个东西是没有保存在云端的
|
4
nopy 2017-02-16 16:11:24 +08:00
|
5
winterbells 2017-02-16 16:32:20 +08:00 via Android
@nopy 忘记密码只能重置账户了,所有数据都没了
如果不需要密码就能读取还能说安全吗 |
6
tghgffdgd 2017-02-16 16:36:36 +08:00 1
@nopy 看帮助介绍,那个忘记密码,一个是发送给你你自己设置的密码提示信息给你,如果你还想不起来的话是要账号恢复是把数据还原到之前的设置的密码,也就是旧数据,如果这个密码你也不知道就跟你的数据说 byebye 了
|
7
kikyous 2017-02-16 16:39:43 +08:00
lastpass 最近的升级感觉更好用了
|
8
sephinh 2017-02-16 16:43:55 +08:00 via Android 1
@tghgffdgd 确实,刚试过,几年前用了一下最近又想再用,密码忘了,找回密码,只是给你自己设的密码提示,如果还不知道那就只能给你发个邮件给个链接但只能用你已安装过插件的机器读取数据进行恢复,但是如果你已经没有安装过 lastpass 的机器,那就真拜拜了,我上次用都不知道那台电脑了,早没了,最后没招了开了网页在登录试密码一直密码错误,但插件登录不知道怎么给登上去了,然后才恢复了
|
9
nopy 2017-02-16 16:50:11 +08:00 1
@winterbells
@tghgffdgd 又看了一下,如果忘记主密码必须要登录过的设备(除移动设备)才能恢复主密码 https://lastpass.com/support.php?cmd=showfaq&id=375 也就是说, LastPass 会在每一个登录过得设备(除移动设备)上生成一个"local One Time Password",通过这个也能解密数据。 以前的确有一次忘记主密码,然后就恢复了数据,一直以为不是用主密码加密的…… |
11
bigpigeon 2017-02-16 19:35:25 +08:00
加盐慢 hash,即使服务器呗入侵,也只能拿到一堆无用的加密字符,因为慢 hash 的关系,彩虹表也不顶用
|
12
wske 2017-02-16 19:40:48 +08:00
看了一下,我已经用了整整六年 lastpass premium 服务了,还会继续用下去。。
但是重要的数据也有用 Keypass 备份。 |
13
msg7086 2017-02-17 00:35:23 +08:00
「虽然有加密,但使用的是可逆的算法」
你一定是在逗我。 |
14
bigbyto OP @bigpigeon hash+salt 当然是最安全的加密方式,不过 hash 是不可逆的,现实的需求是需要还原原本的密码。看来安全的做法也只能把用户的密码作为 key 再对用户的密码做加密处理。
|
15
SpicyCat 2017-02-17 11:38:47 +08:00
密码安全也要分级。一般网站的密码,跟钱无关的密码,用 lastpass. 银行密码,支付宝交易密码啥的,能自己记就自己记,就算用密码管理器也用 keepass 之类离线的开源的管理器。
|