编者注:在此之前,LastPass是一个四星级的编辑选择产品。2022年底,该公司宣布数据泄露暴露了用户加密的保险库数据以及其他未加密的个人数据。额外的关于入侵和后果的细节于2023年2月曝光。
由于LastPass最初未能告知其用户违规行为并充分保护他们,我们从这次审查中删除了分数和编辑选择的指定。PCMag目前正在审查其建议的密码管理器和重新测试他们。
此时,我们推荐开源编辑之选获胜者Bitwarden对于任何想要切换到新的密码管理器。
要想跟踪数十个或数百个强而独特的密码,没有一个密码管理器。如果不信任产品背后的公司,使用密码管理器是很困难的。在PCMag,我们希望密码管理公司能够保护用户的凭证,并在客户的保险库可能存在风险时通知客户。2022年,在恶意第三方窃取了与加密金库相关的数据后,LastPass未能立即通知用户。该漏洞和安全事件还揭示了LastPass在用户保险库中存储未加密的url,这种做法可能会暴露用户的凭据。
类似的产品
到目前为止,我们不再推荐LastPass,因为我们不能相信该公司会及时提醒用户未来的安全事件。不过,本文概述了LastPass的定价、功能和实际测试中的注意事项。
LastPass要花多少钱?
LastPass为消费者提供三种不同的计划:免费、高级和家庭。
免费版包括标准的密码管理器功能,如自动填充、密码生成器、安全注释、密码强度报告和对多因素身份验证的支持。LastPass的免费层将凭证共享限制为一对一,将保险库同步限制为单个设备,并且不提供高级的多因素身份验证选项。
其他免费密码管理器,例如Enpass,限制免费用户可以保存的密码数量。还有Dashlane和Keeper,如果你在一台设备上使用,它们是免费的。Bitwarden的免费版本对跨设备同步或总密码没有限制。
LastPass高级版每年收费36美元。除了所有免费版的功能,你获得一对多的密码共享,先进的多因素选项(如YubiKey支持),紧急访问功能(密码继承),暗网监控,优先技术支持,LastPass应用程序,和1GB加密文件存储。
非企业账户的最高级别是LastPass Family,每年收费48美元。LastPass家庭用户获得六个LastPass高级许可证,无限共享文件夹,并访问LastPass家庭仪表板。
LastPass的高级版和家庭版定价略高于竞争对手的同类软件。例如,守门员密码管理器和数字保险库它的个人和家庭套餐的价格低于LastPass,分别为每年34.99美元和74.99美元。Bitwarden的高级版和家庭版比LastPass便宜得多,每年仅为10美元和12美元。
开始使用LastPass
要注册LastPass,请输入一个电子邮件地址并创建一个强主密码。您只知道主密码,所以如果您忘记了,LastPass将无法帮助您访问保险库。
在你创建账户后,LastPass提供安装浏览器扩展,这是你登录服务的方式。如果您选择跳过此设置,您可以始终使用LastPass Universal Windows、macOS或Linux安装程序将LastPass扩展添加到这些平台上的浏览器中。LastPass提供Chrome、Firefox、Edge、Safari和Opera浏览器扩展。
一旦你登录,LastPass会帮你保存谷歌、Facebook、PayPal或Netflix的密码。弹出式通知解释说,您首先像往常一样登录,然后单击添加按钮,当LastPass提供保存它。LastPass还会带你快速浏览Web Vault。
在安装过程中,LastPass用于提供从浏览器导入密码和关闭浏览器中的密码捕获功能。此功能仍然可用;它只是不会作为安装的一部分发生。
LastPass可以从六个竞争产品中导入:1Password、Bitwarden、Dashlane、KeePass、Keeper和Roboform。与可以从近20家竞争对手那里进口产品的Keeper相比,这并不多。LastPass还可以导入存储在Chrome、Edge、Firefox、Internet Explorer、Opera和Safari中的密码。
多因素的安全
无论你的主密码有多复杂,如果被小偷拿到了也没关系。LastPass需要在你第一次用新设备登录时进行电子邮件验证,这很好。但是,您可以使用可用的多因素身份验证选项来增强安全性。要设置多因素身份验证,请前往Web Vault中的帐户设置>多因素选项卡。
可用的多因素身份验证选项取决于您的订阅层。免费用户可以使用身份验证应用程序。设置一个身份验证应用程序需要使用你选择的应用程序捕捉QR码。每次登录时,都需要提供一个基于时间的一次性密码除主密码外,由应用程序生成(本质上是一个六位数的代码,通常每30秒更改一次)。
LastPass还通过其LastPass Authenticator应用程序提供身份验证,该应用程序允许你通过推送通知接受或拒绝登录尝试,而无需输入六位数的密码。LastPass最近宣布它正在将专注于企业的LastPass MFA应用程序整合到LastPass Authenticator应用程序中,并整合前者的无密码认证功能。
没有智能手机?您可以打印钱包大小的身份验证网格。这是低级技术!
高级用户可以使用硬件密钥(如密钥)YubiKey)或生物识别选项作为第二身份验证选项。LastPass不支持更现代的通用双因素(U2F)fido2标准(在新窗口中打开),而不是依赖于基于otp的方法。当您点击Yubikey登录时,该密钥会提供一串用于身份验证的数字。1密码、Dashlane、Zoho Vault以及更多的密码管理器都支持U2F身份验证方法。
多因素身份验证在一段时间后可能会变得冗长乏味,因此LastPass允许您将特定设备定义为可信设备。当您从受信任的设备登录时,您只需要主密码。信任每30天过期,您可以将丢失的设备从信任列表中删除。为了获得更多的控制,您可以禁止任何不在受信任列表中的设备登录。
LastPass Web Vault和浏览器扩展
LastPass为Windows(通过微软商店)和macOS提供桌面应用程序,但你可以在网上管理你所有的密码和个人数据。LastPass的Web Vault采用了红、灰、白三色的配色方案和简洁的布局。
在界面的顶部,有一个搜索栏,用于筛选您保存的所有数据。右边的下拉菜单可以让你访问你的帐户设置和其他有用的资源。在“帐户设置”部分中,您可以定义等效域,如youtube.com、google.com和gmail.com。一个人的密码适用于所有人。
你可以通过一个左栏菜单来导航,其中包括所有项目、密码、便签、地址、支付卡和银行账户部分。安全笔记存储和同步敏感信息,可选择使用附件。地址类似于以前版本的表单填充。支付卡和银行账户不言自明。如果您添加了LastPass的项目类型之一,如驾驶执照、护照或社会安全号码,这些类别也会出现在此菜单中。beplay3体育app手机版我们将在表单填写部分更详细地讨论这些项类型。您可以通过页面底部的红色加号按钮添加条目和文件夹。左侧菜单包括“安全挑战”、“共享中心”、“紧急访问”和“帐户设置”部分。
屏幕中间是用来查看和编辑您存储的详细信息的。您可以在列表或网格视图中查看条目,按字母顺序或按最近使用的顺序对条目和文件夹进行排序,并切换到稍微放大的视图。
将鼠标悬停在密码条目上,会显示三个用于编辑、共享和删除的图标。我们将在后面的小节中讨论共享选项。右键单击该项目允许您克隆它,复制用户名或密码,启动相关的网站,或将其移动到一个新文件夹。LastPass支持将项目拖放到文件夹中。编辑项目时,可以更改其显示的名称、添加注释或将其添加到您的收藏夹中。高级选项允许您重新输入项目的主密码,无需等待即可自动填充,并保留条目但完全禁用自动填充。
虽然LastPass确实提供了将条目组织到自定义文件夹中的能力,但它不支持创建单独的保管库(例如个人密码和工作密码),而1Password则支持。
在数据泄露的新闻之后,在LastPass保险库中发现了一个奇怪的现象:与凭证条目相关的未加密url。当您在密码管理器中捕获密码和用户名时,URL数据存储在保险库中。令人费解的是,LastPass不加密这些URL文本字符串,尽管它们可能包含用户名或密码信息。这种选择似乎是另一个等待发生的安全事件,因此我们建议LastPass更改其存储未加密url的策略。
我们在Chrome上测试了LastPass扩展。您可以查看最近使用的密码从扩展,查看所有项目,并产生新的安全密码。“添加项目”和“帐户选项”项将您重定向到Web保险库。您可以直接启动相关网站的特定密码条目,复制用户名或密码,并编辑它们。
密码捕获和重放
当你登录到一个安全的网站时,LastPass提供保存你的凭证。可以单击“添加”继续,或单击铅笔图标编辑条目。您可以将捕获的登录信息分配到一个新的或现有的文件夹中,或者告诉LastPass您永远不想为网站保存密码。您不能直接在弹出窗口中输入一个友好的名称,但是您可以在主界面中处理这个问题。
在测试中,LastPass从单页和两页登录中捕获登录,没有问题。默认情况下,LastPass在您重新访问网站时不会填写您的凭据,但您可以在每个帐户的基础上启用自动登录选项。
安全指示板
使用LastPass安全地存储所有密码是很好的第一步,但这还不够。现在你需要修复弱的和那些你已经回收用于多个网站的。这就是LastPass“安全仪表盘”的作用所在。
单击Security Dashboard菜单项开始操作。在主屏幕上,可以看到LastPass根据密码的强度和是否启用了多因素身份验证计算出的安全分数。
单击View按钮以查看保险库中所有密码的列表。LastPass对每个密码的强度进行评估,然后识别任何潜在的风险(旧的、重复使用的或弱的),并为任何违规项目添加一个更改密码按钮。该按钮不会自动更改密码。相反,它会把你带到登录的相关网站。
另一个功能是LastPass针对高级和家庭账户持有人的暗网监控。启用此保护后,所有关联帐户电子邮件的列表将出现在该部分中。您可以选择监控哪些,如果有任何泄露,将收到电子邮件通知。
密码生成器
当你注册一个新帐户或更改现有帐户的密码时,LastPass提供生成一个安全密码。我们建议您的密码长度至少为20个字符,并包含符号。
默认情况下,LastPass密码生成器创建12个字符,少于Keeper和Dashlane等竞争对手,后者默认使用所有字符类型(字母、数字和符号)创建20个字符的密码。
当您更改密码时,LastPass提供更新相关条目。无论您是否接受密码生成器的帮助,这都有效。
紧急访问
你死后你的密码怎么办?你的继承人将如何进入你的银行账户或告诉你的社交媒体圈发生了什么?紧急访问功能允许您定义一个或多个联系人,他们可以在您过早死亡的情况下访问您的密码。此功能不提供给免费用户。
LastPass中的紧急访问功能与Dashlane和Keeper的类似功能类似。输入收件人的电子邮件地址并定义等待期。收件人必须安装LastPass并接受您的连接请求。现在,如果你发生了什么事,收件人只需请求访问你的帐户。Dashlane只允许你传递你保存的凭证的一个子集——例如,你可以将一个同事定义为你工作特定密码的接收者。这不是LastPass的选项。Zoho库区分工作密码和个人密码;管理员可以单方面接管前员工的工作密码。
这就是等待期的由来。假设您信任的接收者决定在您死前抢先获得您的密码。初始访问请求触发通知,您可以在等待期间的任何时间拒绝访问请求。在真正的紧急情况下,你的收件人在该时间过后自动获得访问权限。
单击“紧急访问”可查看两个页面,“我信任的人”(您的密码继承人)和“信任我的人”(已将您设置为紧急访问联系人的人)。您可以从列表中删除任何人,也可以在“我信任的人”页面上更改等待期。您可以在“信任我的人员”页上退出紧急访问角色。
密码共享
你不应该随意分享你的密码,但在某些情况下值得分享。例如,你和你的伴侣可以使用共同的银行账户。如果您必须共享凭据,那么您应该安全地这样做。
免费LastPass用户只能设置一对一共享,但高级会员和家庭会员可以与其他几个用户共享一个项目。付费家庭帐户的用户可以共享无限数量的文件夹。
共享密码很容易。选择保险库中的项目,单击共享图标,输入收件人的电子邮件地址。已经使用LastPass的收件人将收到新共享已到达的通知;其他人将收到一封电子邮件,解释如何创建帐户并接受分享。收件人可以使用共享项登录。共享密码的人可以通过web保险库中的共享中心管理收件人对凭据的访问。您可以管理收件人在访问密码时是否可以查看密码,也可以放弃对其他人与您共享的凭据的访问权限,或者切断与您共享密码的其他人的联系。
填写网页表格
您可以在LastPass中存储多个地址、支付卡和银行帐户,每个帐户都包含各种个人和联系信息。RoboForm允许您创建任何表单填充字段的多个实例,而Dashlane则分别存储个人数据的各个组件(电话号码、电子邮件等)。
LastPass还可以存储许多其他类型的个人数据,包括驾驶执照、护照、保险单和你的社会安全号码。
安全笔记和在线存储
安全笔记是在LastPass账户中存储信息的另一种方式,它不属于任何其他类别。beplay3体育app手机版
只有高级LastPass用户才能获得在线存储空间,但总空间限制在1GB。你不能升级这个存储。要使用LastPass存储附件,必须将其附加到一个项目。相比之下,Keeper的家庭套餐包含10GB的存储空间。
手机LastPass
我们在iOS设备上测试了LastPass,登录测试账户没有问题。LastPass在保持不同平台的用户体验相同方面做得很好。安卓和iOS版本拥有LastPass的所有功能,包括密码生成器、紧急访问、共享中心和安全挑战部分。
除了基于应用程序的身份验证选项外,您还可以配置LastPass,使用设备的生物识别登录选项进行身份验证。LastPass在Android和iOS设备上支持基于人脸和指纹的认证方法。Yubikey认证要求Yubikey型号支持通过NFC(近场通信)或您手机的连接类型(如USB-C或Lightning端口)进行认证。
在之前的测试中,使用LastPass在移动设备上填写网站表单有点笨拙,但体验有所改善。在iOS设备上,LastPass取代了苹果的Keychain功能,所以你可以使用存储在保险库中的凭证来填充、创建和保存网络上的登录信息,而无需打开LastPass应用程序。运行Android 11或更新版本的用户也可以获得类似的自动填充体验。
商务LastPass
LastPass使管理员可以很容易地查看谁在作业中遵循密码策略,谁没有。例如,管理指示板显示公司的密码管理器注册率、用户活动和平均密码安全评分。
LastPass的报告仪表板是我们从密码管理公司看到的最全面的员工与密码软件交互的实时分解。只有Dashlane为管理员提供的报告仪表盘与之接近,但它并没有包含LastPass提供的有关员工密码使用习惯的丰富信息。
每个员工都可以进入一个保险库,在那里他们保存着与工作有关的凭证。在“用户”页面中,管理员可以看到所有被邀请使用密码管理器的员工、员工最后一次使用该软件的时间、员工是否为其帐户启用了多因素认证(MFA)、密码安全评分等选项。
与竞争对手Dashlane和Zoho Vault一样,LastPass也支持单点登录(SSO)。SSO减少了员工进入其工作帐户时必须记住的密码数量。管理员可以从管理控制台的应用程序部分添加诸如SSO、MFA和无密码应用程序之类的应用程序。
LastPass致力于帮助管理员鼓励MFA。管理员可以对链接的单点登录应用实施多种类型的MFA,包括应用推送、电话呼叫、一次性密码、短信或YubiKey。
该应用程序还与ADFS、Azure AD、Google Workspace和Okta进行了联合集成,这意味着员工可以在当前的工作空间中使用他们现有的企业凭据访问LastPass。无需记住另一个密码可能会使密码管理器对员工更具吸引力。
LastPass Business还为每位员工提供了一个免费的家庭帐户,以鼓励他们在家里警惕使用密码。LastPass家族数据与业务数据是分开的。LastPass有一个零知识安全模型,所以只有用户知道他们的密码。如果员工离开公司,他们的家庭帐户将与企业帐户断开链接。与Dashlane的商业级别一样,前雇员可以购买家庭计划,也可以将帐户转为免费帐户。
LastPass失去了我们的信任
该公司对数据泄露和随后的安全事件的公开反应不佳,以及将未加密的url存储在保险库中的做法是主要原因LastPass正在失去我们的信任以及为什么该产品失去了我们的编辑选择称号。让客户清楚地知道他们的数据何时被访问,可能有助于修复公司在公众心目中的形象。我们打算继续让该公司负责让用户了解情况并保护他们的数据安全。
我们建议切换到开源密码管理器,因为该软件是协作的,因此安全问题通常可以很快发现并修复。我们的编辑选择开源密码管理的赢家是Bitwarden。守门员密码管理器和数字保险库和Zoho库也是编辑选择密码管理类别的获奖者,因为它们具有创新的功能,并且易于使用。
在用户的加密保险库数据被盗的重大安全漏洞之后,LastPass需要做出改变以重新获得公众的信任。