我使用Lastpass。今天我收到他们的一封电子邮件，告诉我他们的服务器被黑了，一个包含电子邮件地址和恢复提示的数据库可能被复制了。

亲爱的 LastPass 用户，

我们想提醒您，最近，我们的团队发现并立即阻止了我们网络上的可疑​​活动。没有加密用户保管库数据，但其他数据，包括电子邮件地址和密码提醒，被泄露。

我们相信我们使用的加密算法将充分保护我们的用户。为了进一步确保您的安全，我们要求在从新设备或 IP 地址登录时通过电子邮件进行验证，并将提示用户更新其主密码。

对于给您带来的不便，我们深表歉意，但最终我们相信这将更好地保护 LastPass 用户。感谢您的理解和使用 LastPass。

恢复方法有多安全？

刚才我退出了我的 Lastpass 帐户，并进行了恢复。事实证明，Lastpass 在我的机器上（以及我用来登录 Lastpass 的每台机器上）存储了一个一次性密码，由发送到 Lastpass 帐户所用邮件地址的恢复链接激活。只需单击链接即可解锁本地数据库。链接有一个长标识符。我想这个 ID 是解锁本地一次性密码所必需的 - 如果不是，密码可能会被简单地复制和滥用。

• 问题：这种方法有多安全，在我登录的所有机器上都有一次性密码？

滥用被盗的电子邮件地址

被盗的电子邮件地址——它们会带来什么风险？

当然，再一次有数千或数百万个有效邮件地址被盗并可能被滥用于垃圾邮件，这当然不好。此外，由于这些都是 Lastpass 用户，他们可能会收到有关 Lastpass 的邮件，并被诱骗输入他们的主密码。

当我登录 lastpass 时，它会下载用户数据库并将其解锁。如果按此顺序发生，我可以为所有用户下载所有数据库，而无需输入密码。然后我可以尝试使用标准密码列表解锁数据库，例如“密码”和“1234567890”，通常是错误密码。这将打开很多，并且不会通知 Lastpass，因为他们没有看到很多尝试。

如果在验证密码之前没有下载数据库，那意味着数据库被远程解锁，这不是他们告诉我们的。对？

• 问题：这是一种可能的情况，还是这种方法以某种方式受到保护？

浏览器插件和 Lastpass 之间的连接当然是加密的，我不知道他们是否以某种方式保护了新下载的数据库以防止此类事情发生，但是一些真正聪明的人难道不能绕过加密吗？

更新主密码的建议

当他们在邮件中写入时，Lastpass 会监控何时有人从未知位置登录，并发送邮件以验证这是合法的。这当然是很好的做法。然后他们写道，他们将提示用户更新他们的主密码。为什么？我不明白。这将如何防止犯罪分子比目前更多地解锁帐户？Lastpass 说没有下载密码，这应该是不可能的，因为他们不存储密码。

• 问题：那么为什么我们需要更改主密码，这将如何让犯罪分子更难做到？

黑客影响

这种“黑客”可以在没有所有这些地址的情况下完成。只需使用随机电子邮件地址登录并遵循相同的方案。区别在于效率。

• 问题：如果 Lastpass 确定他们正确保护了我的数据，并且我使用了强密码，那么除了某些犯罪组织获取了我的电子邮件地址（如果他们还没有）之外，什么都没有改变？

其他风险？

我错过了什么吗？还有哪些其他风险？