LastPass 两步验证，形同虚设。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

工单节点使用指南

• 请用平和的语言准确描述你所遇到的问题

• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

• 如果是关于 V2EX 本身的问题反馈，请使用反馈节点

这是一个创建于 2857 天前的主题，其中的信息可能已经有所发展或是发生改变。

我的 LastPass for Chrome 在输入主密码点击登录后，网站的密码就自动填写可以登录了，后面的手机验证对此完全没有影响。
这究竟是 BUG 还是我对此功能的理解有误？

lastpass

密码

验证

15 条回复 • 2017-10-20 08:32:38 +08:00

rzti483NAJ66l669

2017-10-19 13:18:40 +08:00

不用 LASTPASS，但是两步验证是验证主账户的，
而不是 LASTPASS 每填写一个登录信息 /表单就验证一次。

rzti483NAJ66l669

2017-10-19 13:20:23 +08:00

用途是主账户的密码（第一步验证）被盗取之后，不进行手机验证（第二步验证），是无法连接你的密码库的。

ZenFX

2017-10-19 13:22:31 +08:00 via Android

两步验证是在你登录 Lastpass 账户时使用的，不是在填密码时使用的

saran

2017-10-19 13:26:35 +08:00

本着在繁杂的密码也会被盗的原则，我用简单的密码。
我只相信通知才是最安全的安全措施。

rzti483NAJ66l669

2017-10-19 13:28:57 +08:00

@saran #4
这类软件的意义在于可以任意为不同站点设置不同的密码，而不是说用了就一定不会被盗。

Microi

2017-10-19 13:33:13 +08:00 via iPhone

@humorce
@ZenFX
可能我没描述清楚，我的问题是，虽然开启了两步验证，登录 LastPass 的时候，输完密码弹出手机验证框，但此时我在其他网站的登录框账户密码栏已经被 LastPass 自动填写了（本来是空白的，也没有使用浏览器记住密码）。

rzti483NAJ66l669

2017-10-19 13:40:24 +08:00

@Microi #6
考虑安全问题，可以把 LASTPASS 的扩展删除再安装一次（顺便清除此扩展的 COOKIES 和缓存）

或者可能是这个两步验证有信任设备列表。

Microi

2017-10-19 14:10:00 +08:00 via iPhone

@humorce 可能是第一种的原因，因为弹出的那个手机验证信任 30 天的我没勾选过。

saran

2017-10-19 16:24:00 +08:00

@humorce 所以我用的密码都是一个啊，所以对于这类的应用感觉不是很大。

honeycomb

2017-10-19 17:53:09 +08:00

@Microi
是否是因为扩展用了本地缓存里的内容自动填上的？

rzti483NAJ66l669

2017-10-19 17:54:44 +08:00

@saran #9
撞库，瞄准的就是这样的用户群啊。

saran

2017-10-19 20:03:36 +08:00

@humorce 那没办法，在好的密码也能撞开，只不过我的更快点而已，所以我只相信通知功能，能来安全，因为只有第一时间知道了自己的账户不安全了我就可以立马反应，并进行相关操作，这比相信万能的密码更可靠。

rzti483NAJ66l669

2017-10-19 20:08:24 +08:00

@saran #12
你可能没懂我意思。。

saran

2017-10-19 22:55:39 +08:00

@humorce 哦……

Ivvvy

2017-10-20 08:32:38 +08:00

所以为什么不试试 enpass 呢