LastPass Review：具有更改值的主导密码管理器

“'不要把所有的鸡蛋放在一个篮子里'就是错了。我告诉你'把所有的鸡蛋放在一个篮子里，然后看着那个篮子。'” - 安德鲁卡内基，1885年

涉及到隐私工具，Andrew Carnegie通常是错误的。如果是密码经理然而，卡内基通常比错误更加死亡。我们的在线隐私和安全性很大依赖于守护单一数字篮子 - 一个选择的密码管理器 - 我们已经委托了每个登录密钥。为了机智，我一直在使用LastPass，这么长时间我不知道我什么时候开始使用LastPass。但现在 - 带新的LastPass曾是一项传奇的免费服务发现了软件中的Web跟踪器——我终于要换了。

尽管如此，我没有坚持，因为我是品牌忠诚的人。我测试了其他人密码经理，并且堆叠的堆栈加密点亮我的办公室 - 距离办公室，我在敞篷下进一步进一步。直到最近，延时，延误了它们。虽然我个人搬到位于比特德伦 - 这仍然是跨多个设备的自由，并且具有强大的开源基础 - 我仍然通过其整体易用性来引导很少的技术人员来踩踏。

阅读更多:2020年最佳密码管理器

虽然LastPass'广泛的自由层让它在竞争中获得了广泛的胜利边际竞争对手喜欢1password.将其自由服务限制为单个设备已快速关闭间隙。其技术安全通常与其他优质密码经理相提并论，但它仍然有一个友好，直观的用户界面的优势 - 我认为最重要的因素，我争论，在建立长期隐私时习惯。

您通常应该避免使用将Web跟踪器填充到浏览器中的任何隐私产品，或者确保您的浏览器和设备上启用了任何个人跟踪器阻止工具。但即使是对自由服务的最新限制，它仍然是一个有价值的产品。

成本分析

LastPass的高级版售价为每年36美元，是一笔不错的交易，由于包含了更优惠的功能YubiKey和1GB的加密存储。48美元的年度订阅将为您提供家庭计划 - 这是六个个人帐户，共享文件夹和仪表板，超出您自己的安全分析，并允许您管理家庭帐户。

还有更便宜的选择位纽带首先是10美元的第一层高级版 - 但是Lastpass是与大部分同行的标准价格。例如，竞争对手和1Password分别为其第一层高级订阅分别为30美元和36美元。

装载易于使用的功能

如果你是密码管理的新手，下面是它的工作原理:你注册一个帐户并创建一个主密码。然后使用主密码登录密码管理器，而不是为每个不同的站点输入登录信息。

LastPass浏览器扩展的自动填充功能 - 它允许您在用户名和密码字段中单击下拉菜单，以填充您选择的任何网站的保存登录信息 - 无缝足以使其快速标准化例程LastPass使用你浏览。当其他密码管理人员可以在导航JavaScript需求时成为一个诙谐的混乱，Lastpass是不可取的。

整体安全性也通过LastPass'用户名和密码生成器来支持 - 每次都更容易创建更强大的密码，而不是诱使重新使用其他密码。当与LastPass的自动提示相结合时，此功能最佳：不仅是LastPass检测数据输入字段并邀请您在Vault中保存新密码（而不是直接进入您的浏览器，您应该永远不会做的事情），但它鼓励您使用单击生成唯一的一个。

LastPass的多因素身份验证，一种实践我们建议您提供任何应用程序对于敏感数据，它也有助于支持安全登录。如果你愿意购买高级版本，LastPass还会将你的信息与已知通过暗网络监控(Dark Web Monitoring)受损的登录数据库进行交叉比对，如果你的电子邮件地址被标记，就会提醒你。您还将获得一个充满图形的仪表板来说明您的总体安全性。例如，一个可视化测量器会分析您的密码集合，并显示被认为太弱的百分比。

光滑的功能

LastPass浏览器扩展的顺利功能不能夸大。他们几乎与我使用过的其他所有延伸。它可以说也是如此移动应用程序。即使应用商店权限模式发生了多年来，我从未遇到LastPass和其他应用之间的重大冲突。这种分析性也延伸到平台。我尚未找到一个我无法使用Lastpass的操作系统或设备。我已经向记者，律师，活动家，家庭推荐了 - 你的名字 - 不仅仅是因为它的兼容性，而且因为我发现它非常直观和用户在其设置中友好。

我可以为网站组创建文件夹 - 仔细分区区域旨在掌握您的凭据和银行信息 - 我可以导入和导出密码块。授予，通过纯文本导出任何密码列表可能会有风险。Premium用户甚至可以共享文件夹和项目，抓住云上的一些安全的笔记空间，并设置紧急联系以访问其帐户，如果他们不能。

然而，可用性和设计不仅仅是关于程序看起来有多聪明。最难修复的安全漏洞是人为漏洞。虽然为了使软件更方便，经常会出现安全漏洞，但最好是使隐私工具具有行为吸引力，即使它稍微不那么安全。一个用户友好的密码管理器是最常用的，而且让人们使用有轻微缺陷的安全性总比不使用要好得多。

回来有一个逮捕令

早在2015年，LastPass是密码管理器的宠儿，而LogMeIn则是一家刚刚宣布要对远程桌面软件收费的公司。所以当LogMeIn宣布计划购买1.1亿美元的Lastpass那一年，互联网敲响了丧钟。不过LastPass并没有倒闭。而且，与LogMeIn不同的是，它并没有突然停止提供免费软件。快进到2020年8月，墨水干了购买Logmein的43亿美元由私募股权公司弗朗西斯科合作伙伴和常绿岛海岸资本，秃鹰的联盟Megahedge Elliott管理。

虽然LastPass仍然吹嘘在数百万里的日益增长的用户群中，但前粉丝群终于被证明了2月:就像LogMeIn一样，LastPass的免费服务也被削减了。截至3月16日，你只能在一台设备上使用LastPass的免费服务。如果你目前使用的是免费服务，你将不得不在两种类别中选择一种，台式电脑或手机。但你也有三次机会在它们之间切换，所以你可以找出哪一个最有用。

并且，是的，LastPass是一个美国的公司，因此您的数据被存储在一个五个眼睛管辖权- 在包括美国，英国，澳大利亚和加拿大在内的国家之间的大规模监视和情报共享环。是的，既是rakepass和LOGMEIN服务条款公开表示，他们将遵守政府机构的请求以获取您的信息。与之不同虚拟专用网络不过，对我来说，在“五眼”(Five Eyes)的管辖范围内使用密码管理器不会立即导致交易失败。

使用像LastPass这样的管理器，你的信息会在客户端加密——也就是在本地，在你的电脑上。因此，你的隐私面临的最大威胁并不一定是你的密码管理员会收到传票和禁言令。理论上，该公司无论如何也没有什么可以移交给当局的。

举个例子:LogMeIn告诉福布斯2019年，一年的LastPass少于10个这样的要求。对于2020年9月，达到2500万用户里程碑的隐私公司，这是一个易逐渐少的要求。更重要的标准是公司对这些请求做的。

当LastPass被授予法律命令从2019年的美国毒品执法管理中，这家公司基本上耸耸肩，要求对用户和家庭住址等用户交出信息。它无法给出联邦品，它自己的加密保留了它。

就像我说的vpn，幸存下来的隐私试验隐私工具可以获得我的信任的最可靠方式之一。在被迫交出政府实体的文件时是任何隐私的公司的责任，这是一家在母公司大声谴责联邦反加密政策的同时，掌握不可读的数据缓存的公司是一个从我那里获得NOD的公司。

芝麻开门

然而，由于LastPass是一款专有软件，这种商誉受到了质疑。这意味着它的源代码不是完全开源的(公众可以查看);该公司要求你信任它，如果存在潜在的后门或漏洞，你永远不会知道。然而，我要向正在阅读本文的程序员们大声疾呼，他们会正确地指出LastPass的浏览器扩展是JavaScript，所以它们实际上是开源的，并且LastPass发布了其命令行客户端的代码在2015年。

无论如何，第三方审计在这里是有帮助的。至少在两者它的安全白皮书，Lastpass声称拥有它们。但是，目前，LastPass只有一个裸体骨折2018-2019年组织审计公开可用，以及它适用的公司列表。但那些不是我们正在寻找的Droids。

在对密码管理器的安全审核中，您希望查看源代码审核，加密分析和白色盒渗透测试 - 不仅适用于LastPass的移动应用程序和桌面客户端，而且是为了其后端技术。为什么Lastpass不是在这里领导？

凭借2500万用户的信赖，LastPass有责任以更独立的，第三方网络安全审计提供公众，如对同龄人所述的那些remembear.那诺德通道和位纽带。而Logmein保留了一个审计收集对于其几个属性，该公司表示，它额外的云安全审计仅适用于LastPass，只有在签署不确定协议时才可用。

为了确保我没有错过任何东西，我始终如一地要求货物。

“安全是我们工作的基础，我们力求对用户透明。我们同意，在评估我们的服务时，进行这些安全审计和渗透测试是很重要的，但由于这些报告的敏感性，我们不能在没有保密协议的情况下提供它们，”公司发言人在一封电子邮件中告诉我。

我拒绝了提议。

在引擎盖下：数据收集和加密

源代码是私有的，审计也不见了，但我们知道LastPass会收集您的一些数据。包括基本的联系信息和计费地址，如您所期望的，但它还包括您的唯一设备标识符号，操作系统，您正在连接的IP地址，您的位置信息以及使用LastPass的应用程序存储密码为了。Logmein一再表示它不会收集用户浏览历史记录。

然而，大多数关于最近的发掘是最近的Lastpass'使用Web跟踪器一名安全研究人员根据一款著名的隐私倡导应用的研究结果，建议放弃密码管理器，该应用因此而受到关注。“出埃及隐私”(Exodus privacy)应用由卫报项目(Guardian Project)开发，用于记录其他应用使用的追踪器数量和权限，在LastPass的Android版本中发现了7个网络追踪器。

LastPass上的Web跟踪器包括来自Google Analytics，Appsflyer和MixPanel的Web追踪器。虽然LastPass的密码加密通常可以通过任何跟踪器或网站查看您的密码，但这些跟踪器让第三方公司收集一个令人惊讶的完整记录您访问的网站。同时，通过同一研究人员发现竞争对手1Password以具有零Web跟踪器。发现位朝向有两个分类为Web跟踪器的项目，但它们用作可选的崩溃报告工具，并不跟踪实际的Web活动。无论如何，Bitwarden提供没有它们的版本。

虽然对于我自己选择的密码管理器来说，对司法管辖的担忧可能不是一个决定因素，但一个隐私应用程序中的一套网络追踪器肯定是。网络追踪器可能是免费软件中最受欢迎的收入模式，而且它们收集的数据——有些人可能会说——已经足够匿名了。但它是揭穿真实的人并不难在匿名数据。更重要的是，这是一种侮辱，支付了一个高级隐私服务，只让隐私服务跟踪我上网浏览。

然而，在安全前，LastPass通常是坚实的。在所有类型的攻击中，密码经理必须抵消，它一般需要对蛮力攻击最强 - 通过破坏加密来破解密码的人。

LastPass使用AES-256加密您的信息——这是您应该期望从任何隐私产品中获得的加密的基线标准。它还使用了一种叫做PBKDF2的东西——这是你的主密码如何转化为密钥来解锁加密。

当然，如果你是那种美国政府将其全部量子计算能力和荒谬数量的工时(例如，爱德华斯诺登)，那么LastPass可能不是最好的选择。

但我们其他人——除了一些奇怪的内部利用LastPass的工作。”一次密码帐户恢复功能——可以相当自信地认为，我们不值得有人忍受100,100个PBKDF2迭代以接近我们的密码。

说唱板

良好隐私工具的标志不是一个干净的说唱板。这是公司如何应对事件和漏洞的方式。他们是透明和及时的讲述公众吗？用户击中了多么糟糕？他们是否迅速回复维修，并将他们学到的长期改进融入了什么？

在Lastpass'案例中，公司创建了一个鼓励虫猎手和安全研究人员的环境。尽管它冗长的发现漏洞列表，但到目前为止只有两个重要的用户数据漏洞（只有其中一个是恶意的并且导致实际的用户数据丢失）。它通常会迅速响应漏洞，并带出更新以及整洁的日志发布说明。尽管如此，它还是比许多竞争对手面临更多的问题，它们的问题一直可以追溯到2011年。

2015年突破看到了最宣传，是唯一的违反指出在LastPass'官方网站上。但同年，尽管如此，Asana Security Head Sean Cassidy发现了一种由此产生的网络钓鱼脆弱性CSRF漏洞和A.研究论文出现了另一个CSRF错误，如果用户被欺骗单击攻击者网站的某些部分，则找到了LastPass的Safari Bookmarklet选项易受攻击。

2016年，攻击不断出现:发现了两个漏洞。其中一个是安全研究人员发现的Mathias Karlsson.，另一个由谷歌项目零bug assassinTavis听完，后者的提示Lastpass敦促用户更新他们的浏览器。

不过，奥曼迪还没有结束LastPass的工作。2017年，他找到了另一个浏览器扩展泄漏,这LastPass固定。他的作品预示着2019年的约克大学研究员发现了一个漏洞这将允许恶意CopyCat应用程序利用LastPass'自动填充功能。到2019年，Ormandy回来了另一个帮助，发现了一个第三方浏览器扩展漏洞——这又是LastPass解决- 这将公开您在先前访问的站点上输入的登录凭据。

沉重是头

在没有看到审计报告的情况下，很难准确地指出，与竞争对手相比，LastPass为什么会有这么多被发现的漏洞。这个长度可以说明一个复杂软件的流行和正在进行的进化，或者被认为是开发草率和重复出现的问题的证据。

当我与该公司联系时，LastPass指出它欢迎bug搜索者，并正确地提醒用户不要选择任何没有公开披露bug或事件的供应商。

“LastPass是消费者和企业的领先密码管理器 - 市场上没有其他密码经理更广泛地使用。因此，我们更有可能引起安全研究人员的注意，”一家公司发言人说在电子邮件中。

“LastPass之所以能提供更强大、更安全的产品，部分原因在于研究界所做的重要工作。我们将继续通过我们的第三方漏洞奖励程序，“发言人添加了。”我们很自信地引起注意。“

他们对它更强大。每次都有Ormandy来到它，钢材锋利的钢铁和整体安全都是硬化的。他们有一个关于人气的观点。如果我是一个令人抱负野心和伦理的错误狩猎安全研究员（或者我只是需要一个几百卢比），我的冲动将在国内大规模监督下，在司法管辖区的专有软件之后。所有指标都将以优秀的目标练习来实现LastPass。

不过，如果这里没有信号的话，这些点会更强。说唱表的进一步分析表明,这不是散点图的随机错误,但地图的LastPass的战斗反对一些相同的阿基里斯的脚跟困扰几乎所有密码经理:当任何密码管理器使用一个浏览器扩展自动填充您的用户名和密码字段,它打开了一个宽矢量为各种各样的风险。

这些风险在Lastpase'案例中，通过URL可见性问题，其历史上不安全的API - 意思是一个可能的恶意网站可以作为合法的网站构成并“谈话”riptpass，让它交出合法网站的登录。仅使用桌面客户​​端将减轻大多数风险。但是，当人们定期使用它们时，密码管理人员只能工作 - 并且没有人使用桌面客户​​经常作为移动应用程序和浏览器扩展。

我们都需要查看这些审计。如果公众可以更清楚地测量LastPass的长期策略的弧和轨迹，以确保其API违反JavaScript浏览器扩展的历史危害，那么市场上每个密码经理的安全性会受益于其开发人员的工作臭名昭着的自动填充问题。更重要的是，互联网上每个人的隐私和安全性可以易于更安全。这就是领导者会做什么。

此外，不会引起关注的立场不会更强大吗？