全球主机交流论坛

标题: 警告⚠️赶紧放弃LastPass吧 [打印本页]

作者: 木易酱 时间: 2021-3-2 18:03
标题: 警告⚠️赶紧放弃LastPass吧
https://mp.weixin.qq.com/s/x-zoQHQFOgKhEjPxwMyZSg

作者: h20 时间: 2021-3-2 18:04
提示: 作者被禁止或删除内容自动屏蔽

作者: yuanyuexiaoni 时间: 2021-3-2 18:05
本帖最后由 yuanyuexiaoni 于 2021-3-2 19:43 编辑

lastpass内置7个|跟|踪|器|，bitwarden 2个，1password 0个，dashlane 2个

之前看的新闻里说的数据，不知真假

新闻链接：https://www.theregister.com/2021/02/25/lastpass_android_trackers_found/

至于Bitwarden用户：

Currently, according to an article on “The Register”, Bitwarden has two embedded trackers that send back data, “Google Firebase analytics” and “Microsoft Visual Studio crash reporting”. While the reason for these trackers may be benign, considering other apps in the category do not have these trackers, it does make you reconsider how safe the application is, especially after LastPass was caught with several trackers.

官方解释：

Q: What third-party services, libraries or identifiers are used?
A: In the Mobile apps, Firebase Cloud Messaging (often mistaken for a tracker) is used only for push notifications related to sync and performs absolutely no tracking functions. Microsoft Visual Studio App Center is used for crash reporting on a range of mobile devices. In the Web Vault, Stripe and PayPal scripts are used for payment processing only on payment pages.

For those who prefer to exclude all 3rd party communication, Firebase and HockeyApp are removed completely from the F-Droid build. Additionally, Turning off push notifications on a self-hosted Bitwarden server will disable using the push relay server.

Bitwarden takes user security and privacy seriously. Bitwarden maintains secure, end-to-end encryption with zero knowledge of your encryption key. As a company focused on open source, we invite anyone to review our library implementations at any time on GitHub.

Security FAQs | Bitwarden Help & Support 3

翻译：

目前，根据“ The Register”上的一篇文章，Bitwarden有两个嵌入式的|跟|踪|器|可以发送回数据，即“ Google Firebase分析”和“ Microsoft Visual Studio崩溃报告”。尽管使用这些|跟|踪|器|的原因可能是良性的，但考虑到该类别中的其他应用程序都没有这些|跟|踪|器|，这确实使您可以重新考虑应用程序的安全性，尤其是在LastPass被多个|跟|踪|器|捕获之后。

Bitwarden官方回答

问：使用哪些第三方服务，库或标识符？答：在移动应用程序中，Firebase Cloud Messaging（通常被误认为是|跟|踪|器|）仅用于与同步相关的推送通知，并且完全不执行跟踪功能。 Microsoft Visual Studio App Center用于在一系列移动设备上进行崩溃报告。在Web Vault中，Stripe和PayPal脚本仅用于付款页面上的付款处理。对于那些希望排除所有第三方通信的用户，Firebase和HockeyApp已从F-Droid版本中完全删除。此外，在自托管的Bitwarden服务器上关闭推送通知将禁用使用推送中继服务器。 Bitwarden认真对待用户的安全和隐私。 Bitwarden使用零加密密钥知识来维护安全的端到端加密。作为一家专注于开源的公司，我们邀请任何人随时在GitHub上查看我们的库实现。

来源；

https://www.theregister.com/2021/02/25/lastpass_android_trackers_found/

https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925

具体分析连接

https://reports.exodus-privacy.eu.org/en/reports/com.x8bit.bitwarden/latest/

https://reports.exodus-privacy.eu.org/en/reports/com.lastpass.lpandroid/latest/

注意Lastpass里面的那个Segment & AppsFlyer Tracker

作者: 木易酱 时间: 2021-3-2 18:06

yuanyuexiaoni 发表于 2021-3-2 18:05
lastpass内置7个**，bitwarden 2个，1password 0个，dashlane 2个

之前看的新闻里说的数据，不知真假 ...

应该没跑的。肯定被安全团队分析了

作者: matoi 时间: 2021-3-2 18:07
提示: 作者被禁止或删除内容自动屏蔽

作者: lokinT 时间: 2021-3-2 18:07
正在用bitwarden ......

作者: kiwix 时间: 2021-3-2 18:11
这个怎么整

作者: 公鸡 时间: 2021-3-2 18:12
刚从lastpass换成bitwarden，无语

作者: xshell 时间: 2021-3-2 18:12
用谷歌自带的有问题吗？

作者: iMJJ 时间: 2021-3-2 18:19

xshell 发表于 2021-3-2 18:12
用谷歌自带的有问题吗？

https://github.com/moonD4rk/HackBrowserData
HackBrowserdata 支持 Windows 和 Linux 平台所有主流浏览器
若恶意软件、插件或者“大数据”利用上述工具，不需要密码认证、不需要管理员权限，1-2 秒就能导出浏览器保存的全部账户明文密码，历史记录、书签、cookie 数据
整个过程没有报毒、没有管理员权限申请，就这样神不知鬼不觉的，在 2s 内盗取用户的账户后密码。

作者: 0000 时间: 2021-3-2 18:20
本地记事本一直

作者: cooioobb 时间: 2021-3-2 18:21
浏览器自带！

作者: iMJJ 时间: 2021-3-2 18:22

iMJJ 发表于 2021-3-2 18:19
https://github.com/moonD4rk/HackBrowserData
HackBrowserdata 支持 Windows 和 Linux 平台所有主流浏 ...

用浏览器自带感觉是最次的选择了

作者: 我是坏虫 时间: 2021-3-2 18:22
提示: 作者被禁止或删除内容自动屏蔽

作者: shaqiang 时间: 2021-3-2 18:24

xshell 发表于 2021-3-2 18:12
用谷歌自带的有问题吗？

没问题

作者: hcw1588 时间: 2021-3-2 18:26

iMJJ 发表于 2021-3-2 18:19
https://github.com/moonD4rk/HackBrowserData
HackBrowserdata 支持 Windows 和 Linux 平台所有主流浏 ...

吓我一跳，我还以为 Safari 也中招。

作者: laogui 时间: 2021-3-2 18:28

hcw1588 发表于 2021-3-2 18:26
吓我一跳，我还以为 Safari 也中招。

你以为这就是干净了的吗
只是没人曝出来而已

作者: lxdn 时间: 2021-3-2 18:32
KEEPASS 真香。。。。。

作者: 蓝色的信封 时间: 2021-3-2 18:34
密码托管是有风险的，本地txt走起

作者: 冷心 时间: 2021-3-2 18:42
放弃吧，但不知道用啥了

作者: louiejordan 时间: 2021-3-2 18:43
吓得我赶紧登录lastpass，我就想知道，这货怎么批量删除？

作者: Youhavelight 时间: 2021-3-2 18:45

laogui 发表于 2021-3-2 18:28
你以为这就是干净了的吗
只是没人曝出来而已

那等他曝出来再说吧。

作者: nerlnsqy 时间: 2021-3-2 18:46
bitwarden_rs自建吧

作者: LoliR 时间: 2021-3-2 19:00
手写到记事本上面，然后放在合适的地方才是最好的，各种站点或者账号密码的名称用只有自己看得懂的代称，密码按照特定规则易位书写

作者: cmse 时间: 2021-3-2 19:22
不过仍需要注意，Bitwarden、RoboForm和Dashlane等密码管理器此前也被曝光过含有多款**。,都一样。他们也需要盈利。正常，只要密码安全就行

作者: chenliqin123 时间: 2021-3-2 19:28
1Password 好像靠谱点

作者: micms 时间: 2021-3-2 19:31
不敢用这些只用浏览器保存的和 ios的密码服务，。

作者: host5217 时间: 2021-3-2 19:43
不用这些东西，脑记

作者: mdrf 时间: 2021-3-2 19:51
这种云端同步的还想要隐私??

开源的不用用这些商业公司的密码管理软件不知炸响的.

作者: G奶 时间: 2021-3-2 19:57

早晚的事，把密码给别人保管不是脑子有屎吗。。。

作者: 吃货 时间: 2021-3-2 19:59
一直keepass

作者: 三季稻 时间: 2021-3-2 19:59
我们公司用这个企业版，可是我还是选择自建Bitwarden
三个原因：1.用不惯
2.我担心IT可以后台查看
3.哪天离职了，数据没了。。。

作者: 摊主 时间: 2021-3-2 22:15
提示: 作者被禁止或删除内容自动屏蔽

作者: hjz 时间: 2021-3-2 22:20
使用微软Edge自带密码管理器的路过……

作者: louiejordan 时间: 2021-3-2 22:23

hjz 发表于 2021-3-2 22:20
使用微软Edge自带密码管理器的路过……

好用吗？兼容性怎么样

作者: hjz 时间: 2021-3-2 22:25

louiejordan 发表于 2021-3-2 22:23
好用吗？兼容性怎么样

Edge上登录即可同步，还不错。没有网页版。

作者: louiejordan 时间: 2021-3-2 22:28

hjz 发表于 2021-3-2 22:25
Edge上登录即可同步，还不错。没有网页版。

我以为是密码管理工具

作者: hjz 时间: 2021-3-2 22:32

louiejordan 发表于 2021-3-2 22:28
我以为是密码管理工具

浏览器自带的

作者: x2ve 时间: 2021-3-2 23:19
这类搭建的工具也觉得不安全所以自己用aes加密存在网络记事本里头暂时不晓得有风险不

作者: zhoumo310 时间: 2021-3-2 23:22
keeper真香

作者: 叫我ams就好了 时间: 2021-3-2 23:24
你现在浏览微信的文章，不知道被收集了多少信息

QQ，Tim，微信都特么扫盘了，也没听说劝我放弃使用的

作者: lanjuli 时间: 2021-3-3 00:33
你用着的微信都不知道收集你多少信息了

作者: Waylon 时间: 2021-3-3 01:34

iMJJ 发表于 2021-3-2 18:19
https://github.com/moonD4rk/HackBrowserData
HackBrowserdata 支持 Windows 和 Linux 平台所有主流浏 ...

这是好东西，之前还一直在找这种东西呢

作者: IDC_Global 时间: 2021-3-3 06:03
手抄路过。。。分级制度。…不重要的一律12345678

作者: louiejordan 时间: 2021-3-3 06:31

摊主发表于 2021-3-2 22:15
https://lastpass.com/delete_account.php

感谢，已全部删除

作者: hcw1588 时间: 2021-3-3 07:30

laogui 发表于 2021-3-2 18:28
你以为这就是干净了的吗
只是没人曝出来而已

没有公开 PoC 就行了。

作者: 木易酱 时间: 2021-3-3 07:34

叫我ams就好了发表于 2021-3-2 23:24
你现在浏览微信的文章，不知道被收集了多少信息

QQ，Tim，微信都特么扫盘了，也没听说劝我放弃使用的 ...

直接存密码跟这个能一样？

作者: flyqie 时间: 2021-3-3 09:09
1Password似乎没啥问题，目前在用

作者: fofo 时间: 2021-3-3 09:46
提示: 作者被禁止或删除内容自动屏蔽

作者: skywing 时间: 2021-3-3 09:58
lastpass一直用得挺好的，最近的新规则要限制免费用户多终端（电脑手机只能择其一）登陆挺恶心的，好在我基本不在手机上用，影响不大吧

至于其安全性，即然选择用它，就选择相信它，安全是它的命根子，它不会轻忽的

只要你的主密码不泄露，没有人能取得你的密码信息，即使lastpass也不行，它只是帮你保管加密后的密码库

作者: odrip 时间: 2021-3-3 10:01
首先总结个人意见：我会用Lastpass 并且还会可能付费使用。
原因就和现在老是吵国外牛奶不安全一样，为什么老是能知道不安全？
首先国外监督检验程度高信息相对透明，其次国内各大奈叶巨头盯着他们的负面，稍微有点风吹草动就报出来了。
同理：我使用的这款软件既然已经是使用量最高的一款云存储密码软件，安全团队会盯、黑客也会盯，竞争对手会盯，甚至用户都会盯。
在使用便捷和安全性的时候，我会优先保障我的重要密码安全，其次我会选择有监督的便捷。

作者: Rorschach 时间: 2021-3-3 10:12

在我国，你还给谈隐私，从淘宝，微信，头条，百度，哪个不是要你隐私要得飞起地啊。

作者: 叫我ams就好了 时间: 2021-3-3 11:10

木易酱发表于 2021-3-3 07:34
直接存密码跟这个能一样？

跟/踪/器知道是什么么？但凡Google搜一下，就知道这篇微信小文断章取义，唯恐天下不乱

作者: Crownsecular 时间: 2021-3-3 11:17

那些本地txt的随便一个什么软件扫下硬盘**都被看光了

欢迎光临全球主机交流论坛 (https://loc.wget.at/)