Lastpass评论


LastPass是周围最受欢迎,最著名的密码管理器之一,但是它的名字真实吗?在此LastPass评论中,我们将其放在显微镜下回答该问题.

此外,我们将研究 历史安全 ,包括以前通过用户群发送警报的安全漏洞.

您的私人数据仍然可以信任LastPass吗?它是最好的密码管理器之一-还是被竞争对手所超越?

继续阅读此LastPass评论以了解更多信息.

+ 优点

  • 本地加密的密码
  • 所有设备之间自动同步
  • 面向新用户的内置演练
  • 传输中和静止时加密的数据
  • 单用户帐户和多用户帐户
  • 1 GB加密文件存储(付费帐户)
  • 支持2FA
  • 符合GDPR
  • 进行内部流程的第三方审核

–缺点

  • 难以联系支持人员
  • 即使是优先支持,质量响应也很差
  • 保费计划近期价格大幅上涨
  • 基于美国和存储在美国的数据
  • 收集并共享一些用户数据
  • 可以强迫披露用户数据

LastPass功能摘要

以下是LastPass全部功能的简要概述,其中某些功能仅在该产品的付费版本中可用:

  • 支持的平台包括macOS,Android,iOS和主要浏览器
  • 传输中和静止时加密的数据
  • 安全密码生成器
  • 安全密码共享
  • 报告书 & 分析
  • 表格填写
  • 2FA和多因素身份验证支持
  • 密码导入/导出
  • AES-256和PBKDF2加密
  • 加密文件存储
  • 在所有设备和浏览器之间同步
  • 紧急通道
  • LastPass身份验证器
  • 应用程序的LastPass

LastPass核心功能(免费用户可用)

这是LastPass的核心功能,您可以在产品的免费版本中访问这些功能。您有能力:

  • 存储密码,安全注释,地址,信用卡信息,银行帐户
  • 在所有设备之间安全地同步密码
  • 保存 & 填写密码
  • 安全密码生成器
  • 安全笔记
  • 两因素验证
  • 安全挑战
  • 一对一数据共享
  • LastPass身份验证器

注意:本评论稍后将介绍LastPass的其他版本及其附加功能。但首先,让我们讨论一些背景信息,这些信息将帮助您决定是否应该进一步阅读.

公司信息(谁拥有LastPass?)

自2008年8月以来,LastPass一直在为世界存储密码。2015年10月,LastPass被LogMeIn,Inc.收购。.

LogMeIn是一家位于美国的上市公司,已在纳斯达克证券交易所上市,年收入超过10亿美元。如果您担心将数据信任给收入不多,只有几名员工的小公司,那么这里就不用担心了.

然后,在2019年12月,LogMeIn正式宣布被美国私募股权公司收购。从他们的新闻稿中:

领先的基于云的连接服务提供商LogMeIn,Inc.今天宣布,它已达成最终协议(或称“协议”),该协议将由以技术为中心的全球领先企业Francisco Partners的关联公司牵头进行收购包括艾略特管理公司(“ Elliott”)的私募子公司Evergreen Coast Capital Corporation(“ Evergreen”)在内的私人股本公司,每股现金价格为86.05美元。全现金交易对LogMeIn的总股权估值约为43亿美元.

LogMeIn被美国风险投资公司收购是否很好?时间会证明一切,但这与我们看到的隐私服务销售给各个实体的趋势相吻合:

  • 私人互联网访问被Kape Technologies收购
  • Startpage从System1(一家广告技术公司)接受了一笔巨额投资

但是,鉴于对数据保护,身份盗用和欺诈以及其他令人震惊的网络安全统计数据的关注日益增加,这不足为奇。人们在这些服务上花费了更多的钱,从而增长了–但是回到LastPass的评论.

LastPass服务条款

由于LastPass是LogMeIn购买的,因此适用的服务条款(TOS)是LogMeIn文档。一般而言,它涵盖了他们提供的所有许多服务。这也是相当密集的法文。这就是我的想法(但我不是律师).

服务条款似乎很标准。有些人可能会持怀疑态度。该公司指出,

如有必要并根据适用法律,我们将在服务方面与地方,州,联邦和国际政府当局合作.

由于公司总部位于美国,是五眼监视国家/地区,因此,根据美国法律,这意味着美国各机构可以访问您的数据。由于您的数据已加密,并且LogMeIn无法对其进行解密,因此他们无法移交太多数据.

但是,这并没有什么不同,因为它也会影响安​​全的电子邮件服务。例如,ProtonMail也被迫遵守合法的数据请求,但是由于电子邮件是在静止状态下加密存储的,因此无论如何都无法获得很多好处.

就是说,由于LastPass代码不是开源的,例如与Bitwarden不同。因此,您需要谨记公司的口号:他们无法读取您的数据,并且后门或漏洞利用无济于事.

LastPass隐私政策

LastPass(LogMeIn)隐私政策规定,公司在您使用其服务时会收集各种类型的个人信息。这可以包括:

  • 您的设备类型
  • 操作系统和版本
  • 设备UDID(唯一设备标识符)
  • 您连接的IP地址
  • 地点信息
  • 语言设定
  • 其他诊断数据

他们使用这些数据来运行其服务,并可以与第三方共享或根据法律要求进行共享。如果需要收集这些数据,建议您访问我们的“隐私工具”页面,以了解如何更好地保护您的数据。此外,我们在安全浏览器和最佳VPN服务方面的指南在这方面也很有用.

LastPass审核

LastPass和其他LogMeIn服务已经过第三方审核的类型。 LastPass审核由Tevora Business Solutions于2018年进行.

该审核名为“ SOC3®–服务组织的控制报告”,旨在检查公司的内部控制是否符合AICPA(美国注册会计师协会)定义的特定信任服务原则。该报告旨在表明LogMeIn的安全性,可用性,处理完整性,机密性和隐私控制符合这些原则。审核的结果是,审核员认为LogMeIn身份和访问管理系统中的控件是,

…有效期自2017年9月1日至2018年8月31日,以合理保证在所有重大方面均合理声明LogMeIn IAM根据适用的信托服务标准达到了服务承诺和系统要求.

这是很好的信息,它告诉我们第三方审核员认为LogMeIn具有良好的内部程序。但是,重要的是要认识到,这是与针对Bitwarden等产品进行的审计完全不同的审计类型.

由安全公司Cure53进行的Bitwarden审核涉及白盒渗透测试,源代码审核以及对Bitwarden代码的加密分析以及针对攻击的安全性。这种安全审核确实是金标准,因为Cure53还审核了VPN服务,例如ExpressVPN.

理想情况下,公司应针对内部和外部威胁进行定期审核。实际上,任何审核总比没有好,尽管最好看看这方面的标准.

LastPass应用

LastPass提供了完整的应用程序(客户端)和扩展程序供您使用。其中包括适用于以下方面的应用和扩展程序:

  • 适用于Windows,Mac OS和Linux的桌面应用程序
  • 适用于Android和iOS的移动应用(iPhone和iPad)
  • Chrome,Firefox,Safari,Internet Explorer,Opera,Microsoft Edge和Chromium浏览器(包括Brave)的浏览器扩展

lastpass应用

您可以在此处查看LastPass的所有不同应用和扩展程序.

LastPass动手测试和审查

对于LastPass评论,我专注于免费(个人)计划。这个计划对于大多数人来说应该足够了。我们将介绍如何在Brave浏览器中安装和使用LastPass扩展.

安装LastPass扩展并创建帐户

您可以通过网络商店像任何典型的浏览器扩展一样安装LastPass。一旦您安装了LastPass扩展程序,单击它会打开一个窗口,如下所示,因此您可以创建一个帐户.

LastPass浏览器扩展

点击 创建一个帐户 窗口底部的链接,LastPass将引导您完成注册过程。您需要输入有效的电子邮件地址才能完成帐户创建过程。 LastPass将向该地址发送一条确认消息,回复后您就可以开始了.

将登录凭据添加到LastPass

LastPass的一项不错的功能是它为新用户提供的演练。设置LastPass后,您将立即遇到一个问题。它可以帮助您存储第一套登录凭据,还允许您通过第三方帐户登录。只需一点时间,待完成后,您就可以自己输入密码了.

安装并激活LastPass扩展后,只需正常登录站点即可。如果站点凭据尚未存储在LastPass中,它将弹出一个类似于以下内容的框,允许您一键将站点凭据添加到Vault中。.

lastpass密码管理器添加

如果您从其他密码管理器切换而又对手动重新输入存储在另一产品中的所有密码的想法不满意,该怎么办?

幸运的是,LastPass可以 从许多其他密码管理器导入数据. 但是,该过程可能会有些复杂。如果您正在考虑从其他密码管理器切换到LastPass,则可以访问此页面,查看涉及特定情况的内容.

使用密码

添加一些登录凭据后,您的LastPass保管库将如下所示:

最后通行金库

当您将鼠标悬停在这些项目之一上时,LastPass将显示该项目的选项。这样可以清晰,美观地查看您保管库中的内容.

虽然LastPass主要用于密码,但它不仅可以处理登录凭据,还可以处理更多的事情。它支持以下数据类型:

  • 密码
  • 笔记
  • 地址
  • 付款卡
  • 银行账户
  • Wi-Fi密码

每种类型的保管库条目的结构均具有用于所有相关数据的字段。例如,这是“添加银行帐户形式如下:

最终通行证表格

现在,让我们看看如何修改存储在保管库中的数据.

编辑数据

除了存储在其服务器上的副本之外,LastPass还在您的每个设备上存储Vault的加密副本。这样,无论您是否在线,都可以查看保管库。但是,当你 在线时,您只能查看保管库的本地副本;你不能编辑它.

如果要编辑保管库中的数据(并且处于联机状态),只需单击 打开我的保险柜 在LastPass扩展名中。这会在浏览器的新标签页中打开保管库.

LastPass密码管理器的作用

LastPass尝试简化存储密码的使用。进入LastPass知道的网站的登录页面后,它将自己插入相关字段中,如下所示:

是lastpass安全的

单击该图标,LastPass将显示一个包含该页面具有的凭据的框。单击以告知LastPass将数据输入到它知道有数据的字段中.

您在LastPass图标的右下角看到了小数字吗?这表示LastPass在此页面上拥有的条目数。如果此处显示的数字大于1,LastPass将显示所有相关登录的列表,您可以从中选择.

使用LastPass生成安全密码

一旦有了密码管理器来为您记住一切,就可以为所有内容使用复杂的长密码。 LastPass包含一个安全的密码生成器,可以为您创建那些复杂的长密码。要使用它,请单击扩展名,然后选择 生成安全密码 选项.

密码生成器如下所示:

lastpass密码生成器

默认情况下,它设置为创建强密码,但我建议您将密码长度更改为至少16个字符,以提高安全性.

增加LastPass安全性

说到提高数据的安全性,LastPass的免费版本中还有两个可用选项.

首先是 多因素认证. LastPass支持各种不同的基于硬件和软件的身份验证器。您可以在此页面上找到所有选项.

LastPass提供的其他工具是 安全挑战. 这是对保管库中数据的自动分析。它的功能类似于检查电子仓库中是否有任何电子邮件地址与可能被黑客入侵的网站相关联。它还可以检测并帮助您更新:

  • 密码不足
  • 重用密码
  • 旧密码

您绝对可以通过浏览器扩展程序中的“帐户选项”子菜单访问此工具。.

共享密码和其他数据

LastPass使您可以与他人安全地共享数据。的 免费版 支持与 别人。的 LastPass分享中心 是您可以管理共享项目的地方。您可以在这里了解其运作方式.

附加的LastPass功能

到目前为止,我们一直专注于LastPass的核心功能(免费版本中包含的功能)。但是根据您的情况,您可能会发现您需要一种或多种仅在付费版本中可用的功能.

为了帮助您确定是否需要的不仅仅是基本知识,我在下面汇总了最有趣的功能的简短说明.

紧急通道

紧急访问可以使其他用户完全访问您的LastPass数据(如果您会遇到麻烦).

应用程序的LastPass

用于应用程序的LastPass(LastApp)是Windows桌面应用程序,可以访问您的LastPass保险柜。它可以为您在桌面应用程序中输入密码.

1 GB的加密文件存储

这样可将安全备忘的可用保管库空间从50 MB增加到1 GB.

家庭经理仪表板

LastPass家庭计划可让您拥有最多 一个帐户六个用户. 家庭管理器仪表板是此的控制中心.

团队特色

LastPass团队可让您管理多达 50个用户 一个帐户。这包括团队政策和简单的报告.

企业功能

整个企业的密码管理,从入门到自动报告,管理控制等等。完整的分解在这里.

LastPass支持

LastPass客户支持页面上有很多信息,可让您无需联系支持团队即可解决许多问题。这很好,因为与现场支持人员联系非常困难。聊天系统是一个机器人,不能很好地回答问题,除非您有优先支持计划,否则您将需要逐步尝试一些可能的解决方案,然后该站点才能为您提供向技术人员发送电子邮件的机会.

LastPass支持没有任何问题。但是,在ConsumerAffairs.com等网站上有关该公司的大多数评论抱怨说,难以找到联系支持人员的方法,而且即使对于高级支持人员也反应缓慢和/或用处不大.

LastPass安全性(多次黑客攻击后仍然值得信赖吗?)

虽然LastPass使用PBKDF2 SHA-256和盐腌哈希使用AES-256位加密对设备上的数据进行加密,但它们仍然遭到黑客入侵.

2015年6月,LastPass承认黑客能够窃取帐户电子邮件地址,密码提醒,每用户服务器盐和身份验证哈希。该公司没有发现任何证据表明已使用了保险库数据(包括表单填写配置文件,安全说明,站点用户名和密码)。该公司立即采取措施,以提高他们的安全性.

根据这个HackRead故事,LastPass还是 2016年至少被黑客入侵两次. 在这两种情况下,攻击者都是白帽黑客,他们向LastPass报告了问题.

2017年,Darknet.org.uk报告称,仅通过浏览恶意网站,就使LastPass Firefox和Chrome扩展程序都泄露了所有LastPass密码。据报道,该问题还可能允许恶意站点在用户的计算机上运行命令。 LastPass工程师再次努力解决问题.

虽然看到骇客和漏洞并不令人愉快,但是有几种方法可以解决这个问题.

  1. 批判方法. 关注LastPass,以了解出现的问题数量,并可能移至其他密码管理器.
  2. 哲学方法. 由于用户众多,而且臭名昭著,因此LastPass受到的攻击可能比其他密码管理器受到的攻击更大。同时,寻找LastPass问题的白帽子黑客和其他“好人”可能比不那么受欢迎的产品更多。.
  3. 乐观的方法. 您也可以看到这是积极的。实际上,任何中等复杂的软件都具有错误和漏洞。人们正在寻找并解决LastPass中的问题。随着时间的流逝,这会使产品更安全,更安全(至少在理论上如此).

我将由您决定要如何响应LastPass代码中发现的骇客和漏洞数量.

LastPass隐私

正如我们在查看其隐私政策时所讨论的那样,LastPass确实会收集一些个人信息,并可能与合作伙伴和执法机构共享。他们收集了比我想要的更多的信息,但是至少您存储在Vault中的数据是安全的–还是它?

该2017年在Hackernoon.com上的帖子表明,LastPass可能会公开您的某些私人数据。作者表明,您存储在LastPass中的网站的URL未加密。如果是这样,LastPass将无法在LastPass保险柜中显示网站的徽标.

与其像其他数据一样对URL进行加密,LastPass只是将它们存储为易于解码的十六进制字符串。更糟糕的是,有时URL包含敏感信息.

例如,有几种方法可以将登录凭据嵌入URL。在这种情况下,您可能会以未加密的形式将私人信息发送到LastPass –但是大多数网站都不应这样做.

这可能是一个很大的隐私问题,但前提是在适当的情况下。看来,有人可以利用此问题的唯一方法是,如果他们可以访问您的保管库数据。这意味着要么侵入您的计算机,要么访问LogMeIn服务器上的数据.

正如我们前面所看到的,第三方审计员说LogMeIn拥有适当的系统来防止未经授权的访问您的数据。因此,再次取决于您是否在特定情况下认为这种情况是不可接受的风险.

LastPass的价格和订阅计划

LastPass的费用取决于您的需求。对于大多数用户来说,免费计划应该是您所需要的。但是,如下图所示,高级和家庭计划为付费用户提供了更多好处.

最后通行证价格

虽然某些密码管理器专注于单个用户或小组,但LastPass拥有全面的业务计划层,其功能可适应多种类型的组织.

LastPass的替代品

如果您是单个用户或管理一个小型团队,则应调查Bitwarden。他们提供免费计划以及可以满足您需求的组织帐户。他们的代码是开源的,并且已经由一家受人尊敬的安全公司进行了审核。而且我还没有看到有关它们被黑客入侵或数据泄漏的任何报告.

如果您需要公司环境的密码管理器,则可能需要签出1Password或Dashlane。它们都提供全方位的业务功能和强大的安全策略.

LastPass审核结论

那么LastPass非常适合您?

这取决于各种因素和您自己的需求。如果您只想帮助您记住密码,那么免费计划非常有意义。如果您要管理家庭,团队或整个企业的密码,LastPass会制定计划来为您完成这项工作.

但是,如果您更加关注安全性和隐私性,则可能需要考虑其他解决方案,例如Bitwarden。根据您的威胁模型,先前的安全问题和封闭的源代码库可能会让您考虑其他选择.

有关其他替代方法,请参见我们的密码管理器主要指南.

您可能要签出的其他密码管理器评论:

  • Bitwarden
  • 达什兰
LastPass评论
  • 评分









    (2.5)

{
"@context": "http://schema.org",
"@类型": "评论",
"itemReviewed":{
"@类型": "软件应用",
"名称": "最后通行证",
"描述": "LastPass是一种非常流行的安全密码管理器,但它也存在一些漏洞和弊端. ",
"图片": "https://restoreprivacy.com/wp-content/uploads/2020/01/lastpass-review-1.jpg",
"操作系统": "Windows,Mac OS,Linux Ubuntu,Android和IOS ",
"applicationCategory": "密码管理员"
},
"reviewRating":{
"@类型": "评分",
"ratingValue":2.5,
"最佳评分":5,
"最差评分":0
},
"作者":{
"@类型": "人",
"名称": "海因里希·朗(Heinrich Long)"
},
"reviewBody": ""
}

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me