基于云的密码管理器会使最安全的体系结构失效吗？

Question

像在线密码库这样的LastPass，能否通过安全评估来保护它们所提供的价值，而不是成为高价值目标的风险？

一个有效的答案应该：

• 避免“是安全的”或“不安全的”有利于利益和风险。
• 考虑一下LastPass与在基于云的密码管理器上存储密码库文件有什么特别的区别。

根据评论编辑。

Answer 1

对于大多数用例来说，LastPass是“安全的”。不过，我怀疑爱德华·斯诺登和朱利安·阿桑奇并没有使用它。(如果你不熟悉这些人，他们都因为泄露机密数据而逃离美国政府)。

LastPass设计的一个重要特点是他们的云系统永远不会看到您的密码。您的所有密码都在您的设备上加密，使用您的主密码。LastPass服务器只看到加密的密码。这是一个主要的技术缓解，使我高兴地使用LastPass。

保险箱并不意味着零风险。我的一位同事发现了一个铬零日，它允许你访问的任何网站从你的LastPass金库窃取密码。但是所有的web浏览器都有许多类似的漏洞，尽管如此，对于典型的使用来说，它们通常被认为是“安全的”。

Answer 2

如果可能的话，不要使用第三方来存储敏感数据，例如:密码。

只要快速查看一下：https://lastpass.com/how-it-works/，理论上讲，它们已经采取了所有行业标准的预防措施，如果您信任它们，应该是安全的。它们还允许您存储信用卡等，所以我确信至少它们是符合PCI的(虽然我不能肯定地回答它们必须是符合pci的)。

然而，我找不到很多关于“基于云的平台”的信息。在我看来，它的设置是一样的，只是将数据存储在它们的服务器上，而不是存储在您的计算机或设备上。(从他们的云服务到您的计算机的数据是端到端加密的吗？等)

将所有这些数据放在一个集中的位置会引起攻击者更多的兴趣。因此，请始终记住这一点，但是如果所有操作都正确，攻击者将无法获取您希望保持私有的数据。