实际上，我曾在 2014 年 3 月 5 日尝试使用 LastPass 的帐户恢复功能进行测试。Lastpass 通过与 Lastpass 关联的电子邮件帐户向您发送一个有效期为 48 小时的链接。您需要从安装了 Lastpass 插件的浏览器访问此链接。如果此插件用于使用用于帐户恢复的电子邮件地址访问 lastpass 帐户，并且启用了一次性密码，您将被带到您的保险库并提供更改主密码的机会。但是，如果您不更改您的主密码，您仍将留在您的 lastpass 保险库中，并且您的各种登录信息都是可见的。您无法在不知道主密码的情况下导出它们，但您可以查看（编辑）各种个人登录信息。因此，有人可能会以您的银行登录信息为例无需更改您的主密码。你可能永远不知道这已经发生了。这假定有人可以访问您的电子邮件帐户，例如，如果您在离开时将其在计算机上保持打开状态。

我认为关闭一次性密码是一个非常好的主意。插件高级选项中的一次性密码是每台机器。因此，您使用的任何其他浏览器，或便携式版本，或者如果您曾经使用某人的浏览器和插件从某人的计算机登录 lastpass。

我认为 LastPass 应该默认禁用一次性密码，即使有些用户可能会忘记他们的主密码并无法访问他们的密码库。Lastpass 至少应该使一次性密码帐户范围广，而不是每台机器。因此，您不必记住您曾经登录过的每台机器。

有几种方法可以实现此类功能，但基本上是的，所有这些都代表着重大的安全风险，特别是因为它们也拥有您的密码数据库。

如果您的机器被盗，LastPass 可能会提供一些紧急联系信息以禁用此功能。您可以避免将 LastPass 用于提供财务或更深入识别信息的任何密码。

有几个开源密码数据库程序，例如 KeePass 和 KeePassX，可以在本地存储您的整个密码数据库。

我确实将本地 OTP 视为一种安全风险，但是，可以在浏览器扩展中禁用它（至少对于 firefox 和 chrome）。安装 lastpass 扩展程序后，我总是在每个浏览器上禁用本地 OTP，这意味着，如果我忘记了主密码，我当然会丢失我的保险库。我认为如果 lastpass 默认禁用本地 OTP 会更安全。我想当他们忘记密码时，他们必须在安全性和用户不满之间做出一些权衡。