LastPass的本地存储一次性密码恢复是否存在安全问题？

Question

如果您忘记了您的LastPass主密码，那么LastPass提供了使用一次性密码(OTP)恢复对您的保险库的访问的可能性，该密码存储在本地，但最初是禁用的。

这里介绍了这一程序：

• http://helpdesk.lastpass.com/account-recovery/

它沿着这样的路线发展：

1. 转到帐户恢复页面。
2. 输入您用作登录LastPass的电子邮件地址。
3. 您现在收到一封电子邮件，上面有关于如何进行操作的说明，并且启用了本地存储的一次性密码。
4. 使用此密码，您应该能够在不使用主密码的情况下恢复对密码数据库的访问。(我不知道这是如何工作的，但是除了使用主密码加密的数据库之外，LastPass还有第二份使用OTP加密的密码数据库。)

但是，由于许多人将邮件程序安装到他们用作登录LastPass的邮件帐户，这并不意味着如果有人访问了您的计算机并设法登录，那么他们可以：

• 使用恢复链接启用本地存储的OTP。
• 阅读通过电子邮件发送给您的说明，因为它也可以访问您的本地电子邮件程序。
• 获得对整个密码数据库的完全访问权限。

他们可以这样做而不知道你的主密码？

有什么我误解了吗？

Answer 1

我实际上尝试使用帐户恢复与LastPass，只是为了测试这个在2014年3月5日。Lastpass通过与Lastpass相关的电子邮件帐户向您发送一个链接，时间为48小时。您需要从安装了Lastpass插件的浏览器中访问此链接。如果此插件用于访问lastpass帐户，并使用用于帐户恢复的电子邮件地址，并且如果启用了一次密码，您将被带到您的保险库并提供机会更改您的主密码。然而，如果你不改变你的主密码，你仍然会留在你的lastpass金库，你的各种登录可见。您无法在不知道主密码的情况下导出它们，但是您可以查看(编辑)各种单独的登录。因此，有人可以拿你的银行登录信息，而不改变你的主密码。你可能永远不会知道这事发生了。这假定某人可以访问您的电子邮件帐户，例如，当您离开时，您将它打开在您的计算机上。

我认为关闭一次密码是一个非常好的主意。和一个密码在高级选项中的插件，是每台机器。因此，您使用的任何其他浏览器，或可移植版本，或如果您曾经登录到lastpass从别人的计算机使用他们的浏览器和插件。

我认为LastPass在默认情况下可能应该禁用一次密码，尽管一些用户可能会忘记他们的主密码并失去对密码库的访问权限。Lastpass至少应该使一次密码帐户宽，而不是每台机器。所以你不需要记住你曾经登录过的每台机器。

Answer 2

有几种实现这种功能的方法，但基本上都是安全风险很大，特别是因为它们也拥有您的密码数据库。

如果您的机器被盗，LastPass可能会提供一些紧急联系信息来禁用此功能。您可以避免对任何提供财务或更深层次标识信息的密码使用LastPass。

有几个开源密码数据库程序(如KeePass和KeePassX )在本地存储整个密码数据库。

Answer 3

我确实认为本地OTP是一种安全风险，但是有一个选项可以在浏览器扩展中禁用它(至少对于firefox和chrome)。在安装了lastpass扩展后，我总是在每个浏览器上禁用本地OTP，这意味着，如果我忘记了我的主密码，我当然会松开我的金库。我认为如果lastpass默认禁用本地OTP将更安全。我想，当他们忘记密码时，他们不得不在安全性和用户不满之间做一些权衡。