我使用过 KeePass 和 LastPass，我将分享一些我在决定使用基于 Web 的密码管理器时发现的有用信息。

伯克利的一些人有一篇论文分析了各种在线密码管理器。此链接将您指向该论文。LastPass修复了小书签问题。

对于威胁 #1：假设密码管理器开发人员正确地完成了他们的工作，那么强大的主密码（读取：长且随机）不应该是可破解的。我必须依靠加密专家来进行评估。

现在 LastPass已经被黑了，我想我会知道他们是否被黑了。

对于威胁 #2：网络钓鱼威胁非常真实，可以击败 2FA（请参阅此 Brian Krebs 文章）。我看不出 LastPass 如何避免 Krebs 描述的那种攻击。他建议依靠实时 CD 来避免系统受损。

对于威胁 #3：不要重复使用密码。

如果您主要担心有人可能会获取您的加密密码数据库，那么使用 KeePass 或其他本地解决方案比使用 LastPass 更安全。然而，这并不是完全的保护。如果您的系统受到威胁，或者您被钓鱼，本地存储将无法保护您。

我认为您忽略的威胁是：他们是否甚至需要您的密码才能进入您的银行等？马特·霍南（ Matt Honan ）写了这篇文章。

如果有比暴力破解数据库密码更简单的方法进入您的银行帐户，那么这就是您需要担心的威胁。我希望我提供的链接对您有所帮助。

1）如果您使用安全密码，大多数密码管理器使用非常安全的密码，这不应该通过暴力破解，但正如 dagenet 所说，我们真的必须依靠专业人士来完成他们的工作

2) 大多数管理器在您的浏览器中工作时使用域身份验证，因此在这种情况下您应该更安全，但密码管理器当然不能阻止您手动复制密码并自己插入

3) 使用随机密码，不要重复使用，这是密码管理员应该防止的主要威胁。

社会工程（ https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4和许多类似的实例）已被多次证明，尽管现在更容易考虑。这里的主要风险不在于您，并且不重复使用密码，使用安全的方式来记住它们（受信任的 pswd 管理器或您的记忆）并观察您输入密码的位置，您不应该有太大的风险