是的，这是一个轻微的安全风险，原因是Conor Mancone指出的。但是不，这并不意味着 LastPass 将您的主密码存储在他们的服务器上，潜在的黑客需要做的不仅仅是获取恢复短信。

要使用 SMS 恢复，您必须能够访问您之前使用过 LastPass 的计算机和浏览器。当您第一次在新计算机/浏览器上登录时，LastPass 会在您的计算机上生成并存储一次性恢复密码 (rOTP)。此 rOTP 本质上像第二个主密码一样工作，仅存储在您的计算机本地，但在您请求帐户恢复之前被禁用。恢复短信仅激活 rOTP，允许您使用它访问和解密您的保管库，之后您可以使用您选择的新主密码重新加密它（使用一次后永久禁用 rOTP）。

如果无法访问您之前使用过 LastPass 的计算机，SMS 恢复将无法工作。这意味着任何想要使用它访问您的保险库的黑客或 LastPass 员工首先必须访问您之前登录 LastPass 的计算机，并且您还没有采取措施删除它留下的任何痕迹。

更多详细信息在宣布 SMS 恢复功能的博文中。不幸的是，您引用的LastPass 帮助文件在 rOTP 部分模棱两可且令人困惑。

可以在LastPass 技术白皮书中找到更多技术性（且不那么含糊）的描述（我不确定该链接是否稳定，因此，如果已损坏，请单击LastPass Enterprise 概述底部的“技术白皮书”）。请参见第 10 页的“恢复”下。

笔记

这个答案讨论了一些重要的注意事项，一般情况下要记住这样的系统，但错过了有关 LastPass 恢复系统实施的相关细节。有关 LastPass 的更多详细信息，请参阅@korsbakken 的出色回答。

真正的风险

是的，这是一种安全风险，并且与他们最终如何使密码恢复成为可能没有任何关系。这与 SMS 不是 2FA 或帐户恢复的安全通道这一简单事实有关，这一事实最近在新闻中引起了很大的轰动。这是一篇安全研究人员拦截在移动网络中传输的 SMS 的文章：

https://www.theverge.com/2017/9/18/16328172/sms-two-factor-authentication-hack-password-bitcoin

但另一种常见（且相对简单）的攻击方法是 SIM 交换：

https://www.digitaltrends.com/mobile/sim-swap-fraud-explained/

我敢肯定还有更多的选择，但它们都有相同的效果：一个坚定的攻击者有很多方法可以在足够长的时间内拦截目标的文本消息，以便在这种情况下拦截帐户恢复。实际上，如果攻击者想要访问您的帐户，知道您在 LastPass 帐户上进行了 SMS 恢复，并且还知道您的电话号码，那么他们将对您的手机运营商执行上述攻击之一，请求 LastPass 重置，并且立即将您的 LastPass 主密码重置为他们选择的密码。他们现在可以完全访问您的所有密码。如果他们特别怀恨在心，他们甚至可以将您永久关闭所有帐户（通过关闭帐户恢复，然后再次更改您的主密码）。

LastPass 员工

当然，您最关心的是 LastPass 员工。然而，这个问题更难回答。答案取决于他们在自己的系统内部拥有什么样的访问控制。当然，您的普遍怀疑是正确的：如果可以重置密码，那么他们必须以某种方式访问​​您的主密码文件（可能只有在您打开帐户恢复时，因为他们说只有在您首先打开帐户恢复时才有效）。这确实意味着 LastPass 系统可能会解密您的密码。然而，这并不意味着员工可以滥用它。许多公司，尤其是为最终用户存储敏感数据的公司，都有许多内部访问控制，阻止员工直接访问最终用户的数据。但是，我怀疑这里的任何人都可以告诉您 LastPass 是否属于这种情况。

在实践中，我更关心与通过 SMS 恢复帐户相关的风险，而不是我对恶意 LastPass 员工的担忧。无论哪种方式，LastPass 都说只有在您启用它的情况下才能恢复帐户，所以如果您关闭它，您应该完全不用担心（除非您不相信 LastPass 是诚实的，在这种情况下您需要弄清楚了解如何自己运行密码管理器）。只是不要忘记您的主密码。