这就是为什么您需要确保定期更改该密码并使其非常强大。（我尝试超过 128 位）

如果您不使用密码管理器并且需要插入许多不同的密码，您最终可能会重复使用密码，这会更糟。一旦你必须记住很多密码，我个人总是建议使用密码管理器。

个人意见：但是我不太喜欢 LastPass，因为它是基于网络的。称我为偏执狂/保守派，我更喜欢离线使用 KeePass 数据库（加密的）或与 Dropbox 同步。

这种密码权力的集中与密码管理器的概念是一致的。密码管理器是一种工具，可以“记住”比人类大脑所能处理的更多的密码。使用密码管理器，只需记住一个密码即可访问所有其他密码。但这意味着知道一个密码就足以访问所有存储的密码。这是不可避免的：我只是用两个稍微不同的观点两次陈述了显而易见的事实。

为此，请使您的主密码足够强大以阻止攻击。15 个随机字母和数字应该足以阻止基于 CPU 的攻击者：如果您的密码被盗，它不会通过暴力攻击。密码卫生的常规规则仍然适用：随机生成密码，而不是机智；不要在可能被键盘记录器感染的机器上输入密码；提防肩部冲浪者。

密码更新是一个有争议的问题。更改您的主密码可能会“踢出”攻击者可能会窃取您的主密码，但这不会更改存储在密码管理器中的特定于站点的密码，因此攻击者不会被完全驱逐。此外，攻击者窃取您的主密码的可能性已经足够严重：如果攻击者达到了这一点，那么您已经陷入了大麻烦。密码更新就像在泰坦尼克号上抗议环境潮湿一样。

为多个帐户共享密码有两个主要问题。是的，一个问题是，如果一个密码被破解，那么它作为单点故障提供了更多的访问权限，但更大的问题是相同的密码存储在许多不同的地方。因此，攻击的表面积要大得多。如果我在访问的每个站点上都使用相同的密码，如果这些站点中的任何一个被入侵，那么现在所有站点都被入侵了。

如果我到处都有不同的密码和/或通过使用 OAuth 之类的东西使用一组凭据，那么攻击的表面区域仅限于单个 OAuth 提供程序或密钥库。使用密钥库意味着通常只需要为受感染的站点更改单个密码，如果您的密钥库被泄露，您将拥有所有需要更改的帐户的文档。如果您使用的是 OAuth，则只需更改一处即可实际更改所有登录凭据。

当然，对于没有记录将它们链接到任何地方的每个站点，这两种选项都比纯随机密码弱，但它们也更有用，平衡可用性和风险缓解是安全性的重要组成部分。“最安全”（即最大风险缓解）并不总是最好的安全决策。

如果尚未提及，您还可以为您的 LastPass 密码管理器设置 2 因素身份验证 (2FA)（我已经设置好了）。这将是您的主密码之外的一次性密码。如果您选择了 OATH 标准（有多个选项），那么您可以在您的设备上使用相同的软件令牌应用程序，该应用程序可能已经用于其他启用 2FA 的网站（例如用于您的 gmail 的 Google Authenticator 等）。

由于使用 2FA 显然是一种额外的痛苦，您可以根据情况选择性地禁用它。例如，如果您非常有信心保护您的手机，您可以关闭手机上的 2FA，但如果尝试从任何其他设备登录您的 LassPass 保险库，请保持开启状态。

更多详情：

https://lastpass.com/support.php?cmd=showfaq&id=1696

问候。