将我的LastPass密码存储在LastPass中是一种安全风险吗？

Question

在对LastPass中的账户进行分类时，我脑海中闪过一个愚蠢的想法。

我可以将LastPass密码存储在LastPass中吗？

一开始我以为这是一个毫无意义的思想实验。你不可能把你的LastPass细节保存在LastPass里.对吗？

即使用户确实试图保存自己的LastPass密码，也肯定会有某种错误或是否正确的检查来防止.

...or我可以添加我的密码，没有任何问题。

这大概没有多大意义。这样做就相当于将一个安全的组合存储在所述组合锁定的保险箱内。我想知道的是安全问题。

在LastPass中存储我的LastPass密码有多不安全？它会导致哪些潜在的安全问题？

Answer 1

根据LastPass的文档，它似乎把你的Vault存储成一个加密的blob。让我们考虑两种攻击方案。

首先，攻击者设法找到了你加密的地下室。他需要打开地下室才能拿到密码。从理论上讲，攻击者可能只会恢复你金库的一部分，而你的主密码恰好就在里面。这会导致你整个地下室的妥协。

第二，假设攻击者设法获得未加密的Vault的快照。然后，他有你的主密码，这使他可以解密你的地下室在以后的时间，它可能包含更多的秘密。

从理论上讲，把你的主密码存储在你的库中会在一定程度上削弱安全性。这是否为某人所接受是一种权衡，每个人都必须自己决定。

Answer 2

这是相当无用的，因为您首先需要键入密码才能恢复它。但是IMHO这并没有真正削弱密码库本身的整体安全性。假设正确实现了LastPass加密，访问加密主密码的唯一方法是.以另一种方式找到它。如果攻击者曾经访问过加密的金库，那么主密码就不会保护任何其他东西，因为整个金库都在攻击者的手中。

IMHO仍然是一种很差的做法，但主要是因为它没有用，这样做可能会给人一种虚假的安全感，或者是其他奇怪用法的指标。

Answer 3

就像在你的保险箱里放一把钥匙。虽然你的钥匙在你的保险箱里是安全的，但你需要钥匙来打开保险箱。因为你需要一个钥匙来打开你的保险箱，你放进保险柜里的所有东西都是安全的，包括你的钥匙。

LastPass本质上是一个保险箱，但他们称它为保险库。都是用你的主密码加密的，这是你的钥匙。将您的LastPass密码存储在LastPass中就像在您的保险箱中存储重复密钥一样。

这是安全风险吗？完全由你决定。如果有人掌握了你的不受保护的密码，他们就能看到主密码并复制它，从而损害你的LastPass帐户。这和你把保险柜打开一秒钟一样，有人来拿你留在里面的钥匙的印记。