尽管如此,2025 年 3 月,LastPass 在第七届年度网络防御杂志上荣获身份管理最佳产品奖信息安全奖项。这证明了该产品始终受到评论家的高度评价。那么,所有的炒作都是值得的吗?LastPass 真的是您最后需要的密码管理器吗?
概述
当谈到记住密码时,没有比密码管理器更好的方法了。为了确保您所有帐户的安全,所有密码都必须复杂且唯一,这一点非常重要。一遍又一遍地使用相同的密码会让您面临黑客攻击的威胁 - LastPass 等服务旨在帮助您。
使用 LastPass,您可以设置一个主密码,所有其他密码都位于该主密码后面。而且,LastPass 旨在通过即时自动将您的密码填写到在线表格中来让您的生活变得轻松。
LastPass 是一款免费增值产品,这意味着它可以免费使用其所有最重要的设置和功能。但是,它确实有一些应用内购买来扩展这些功能,根据您的特定需求,这些功能可能是必要的。单个用户可以免费访问无限的密码存储、所有设备上的密码访问、双因素身份验证、安全的一对一共享功能、安全笔记、密码生成器以及用于检查密码安全性的工具。
每月支付 3 美元的高级订阅用户可以获得以上所有附加功能:与多个用户共享、紧急访问、高级多因素选项、优先技术支持、LastPass 应用程序和 1GB 加密文件存储。这些功能只能由一名用户使用。
升级到每月花费 4 美元,允许的用户数量将增加到 6 个。而且,每个用户都有自己的主密码来访问自己的个人保管库。此外,这些用户还可以访问文件夹中的分组和共享项目以及用于实施管理控制的经理仪表板。
设置
获得 LastPass 的免费或付费帐户非常容易,甚至可以试用付费版本 - 用于测试这些附加功能 30 天。在本次评测中,我们决定尝试 30 天的高级选项,以测试运行所有这些功能。
试用的好处是您不需要提供卡的详细信息。而且,在最初的 30 天期限之后,如果您决定不支付 Premium 附带的额外功能,您的帐户将恢复为免费帐户。
提供主密码和电子邮件地址后,系统会提示用户下载浏览器扩展 - 这将使 LastPass 能够自动填充密码并将密码保存到密码库中。我们安装了 Chrome 扩展程序,因为这是我们用于测试的浏览器。但是,扩展适用于 Firefox、Opera、Edge 和 Safari。
LastPass 用户还可以选择下载该软件的独立桌面或移动版本,这将允许他们使用 LastPass 在其应用程序中以及在线填写密码。
登录扩展程序后,系统会提示用户保存其第一个密码。这是一个很好的功能,可以作为如何使用密码管理器的演练。我们点击了 Facebook,这导致 Facebook 主页被打开,并附有说明,您只需照常登录即可,您的密码将自动保存到保管库中。
这是向保管库添加密码的最简单方法。但是,我们想测试手动添加密码以了解该过程 - 因此我们放弃了自动化,直接进入基于浏览器的客户端。
登录基于浏览器的客户端会启动另一个自动演练,旨在引导您完成所有内容。如果您熟悉密码管理器,这可能不是必需的,您可以选择跳过它。然而,对于初学者来说,这是一个宝贵的资源,可以消除在适应新平台时有时会遇到的尴尬的学习曲线。
我们首先添加一个文件夹来保存我们的社交媒体密码。为此,只需单击添加文件夹按钮位于添加项目客户端右下角的图标(将鼠标放在该图标上时会出现)。
创建文件夹后,我们继续手动添加 Twitter 帐户的密码。
正如您所看到的,可以保存多个数据集,包括付款详细信息、地址信息、银行帐户详细信息或安全注释。我们点击了密码。
由于表单的存在,添加密码很容易,但是,令我们遗憾的是,密码生成器没有集成到该过程的这一部分中 - 就像其他一些密码管理器一样。高级选项允许您选择是否希望自动填充密码,以及出于安全目的是否每次都重新提示您自动填充。我们选择这个是因为它是一个很好的功能。
添加密码后,我们前往该网站检查它是否会自动填充,并很高兴地发现它没有任何问题。
虽然对于大多数用户来说没有必要手动添加密码,但了解文件夹的工作原理还是很不错的,我们总体上印象深刻。但是,自动保存密码仍然是迄今为止以最少的努力保存密码的最佳方法。因此,实际上,您只需像平常一样访问您使用的网站和服务,LastPass 将为您完成所有艰苦的工作。
导入和导出密码
接下来,我们决定测试导入功能。为此,请单击更多选择在客户端的左下角,然后是先进的。在这里你会发现进口和出口特征。
单击“导入”将打开一个特殊的导入工具,它允许您从大量导入选项中进行选择。我们决定选择通过常规 CSV 文件导入。但是,您可以直接从最流行的第三方密码管理器导入。
导入屏幕将根据您的选择引导您完成整个过程。我们被指示在记事本中打开 CSV 文件条目,以便我们可以将它们复制并粘贴到导入字段中。诚然,这比其他密码管理器的工作稍微困难一些,但这也不是一个大问题。
在 Windows 记事本中打开 CSV 条目后,我们只需将数据复制并粘贴到表单中即可。总而言之,这个过程只花了我们几分钟。
接下来,我们研究了导出功能,如果您决定离开 LastPass 使用不同的(可能是开源的!)密码管理器,那么这是一个有用的工具。导出功能会将您带到包含所有个人密码字段的纯文本文档。用户无法选择以各种格式导出,这有点令人失望。但是,您将能够完成工作。
注释功能
注释功能可供想要在云中存储信息的用户使用。这对于密码管理任务来说并不是必需的,但它是一个有用的资源,允许人们为自己设置提醒。虽然表单确实有一个附件按钮,但我们无法让它工作。
紧急联系人
高级用户和家庭用户可以选择在紧急情况下授予某人访问其帐户的权限。这确保了在需要时可以建立对帐户的访问。
通过文件夹共享
任何想要共享密码文件夹的人都可以通过共享中心来实现。例如,用户可以设置单独的文件夹来授予其他用户访问权限,以便可以在同事之间共享密码。此功能仅适用于计划,或在版本。
总而言之,免费提供的一系列功能令人印象深刻。密码管理器很容易上手,而且教程也让初学者也能轻松上手。如果您确实需要一些额外的功能,那么支付服务费用并不昂贵。然而,对于大多数人来说,免费服务似乎就足够了。这很好,因为这意味着该公司没有像许多其他服务那样大规模限制免费版本。
隐私和安全
LastPass 是一家总部位于美国的公司,这意味着理论上它可能会收到搜查令和禁言令,迫使其交出所掌握的有关消费者的任何数据。然而,由于 LastPass 提供客户端端到端加密 - 它永远不应该将任何敏感密码数据传递给当局 - 即使它得到了搜查令。
另一方面,这个密码管理器是闭源的——有些人可能觉得这是有问题的。封闭源代码无法独立审核后门或漏洞,这意味着您必须相信该公司能够提供其声称的服务水平。虽然我们没有理由不信任 LastPass - 市场上有 Bitdefender 等开源密码管理器,它们以完全透明的方式提供与 LastPass 相同级别的服务。根据您的个人威胁模型,这可能更可取。
谈谈加密本身。 LastPass 根据主密码创建本地生成的密钥,该密钥永远不会上传或共享到 LastPass 服务器。此密钥是使用强大的 AES 256 CBC 加密以及 PBKDF2 SHA-256 和加盐哈希创建的。这种级别的加密是安全的,并且由于用户保留对其密钥的完全控制权,因此不必担心 LastPass 员工可能会访问您的密码。
双因素身份验证和位置检查安全性使黑客更难访问帐户。用户每次在新位置登录密码时,都会被要求通过电子邮件中的链接进行确认。这是一个很棒的功能,但我们仍然建议设置 2FA。
对于愿意的用户,可以设置主密码提示,这将有助于用户在忘记密码时记住密码。然而,重要的是提示不要使密码过于明显,因为如果这样做,您的帐户可能面临被泄露的风险。我们建议您坚持使用复杂的密码,并将其存储在极其安全的地方,以免忘记。请记住,如果您忘记了密码,您将无法访问您的密码。
接下来,我们使用 Qualys SSL 实验室检查了 LastPass 的 TLS/SSL 实施,以确保您的数据在传输过程中是安全的。 Qualys 的分析显示,该服务得分为 A+,这意味着 HSTS 正确实施了 SSL,并且您的数据在从浏览器传递到服务器时是安全的。除了已经提供的端到端加密之外,这还为您的数据增加了一层额外的保护。
与所有基于浏览器的客户端一样,在浏览器中运行 LastPass 会使您面临由 JavaScript 与浏览器通信的方式引起的潜在漏洞。这可以让黑客发起中间人攻击。
这并不是 LastPass 所独有的,而且是一种针对性极强的攻击,不太可能对您产生影响。然而,这是可能的,任何想要避免这种情况的人最好坚持使用独立的桌面客户端和浏览器扩展。
最后,我们检查了隐私政策,以确保一切都正常。我们发现整个政策和服务条款都是标准票价。尽管该公司确实承认,如果当局要求的话,它将与当局合作,但它只能提供付款详细信息和订阅本身的详细信息,因为所有其他数据均由客户加密。
我们确实注意到的一件事是,其网站上的跟踪水平有点令人失望(对于基于隐私的服务)。对于任何面向消费者的产品来说,几乎总是需要进行一些跟踪。然而,尽管大多数密码管理器都坚持最低限度的跟踪,但 PrivacyBadger 警告我们 LastPass 网站上有 21 个潜在的跟踪器,这个数量已经很多了。
特征
- 安全密码库
- 在所有设备上访问
- 适用于所有平台的应用程序
- 浏览器扩展
- 一对一分享
- 密码生成器
- 自动填充密码
- 即时自动保存密码
- 同步密码
- 安全笔记
- 安全挑战
- 多重身份验证
- LastPass 身份验证器
高级功能
- 一对多共享
- 紧急通道
- 高级多因素选项
- 优先技术支持
- LastPass 申请
- 1 GB 加密文件存储
客户服务
尽管 LastPass 的网站上似乎有实时聊天支持,但该服务实际上是一个机器人。尽管它可以为您提供有用的信息,但它的局限性在于它并不总是能理解您所问的内容。我们希望注册表单中的可选“提醒”字段进行解释,但人工智能无法理解我们想知道的内容。事实上,我们问了它一些它无法理解的问题。
尽管有这个小缺点,LastPass 网站仍然包含许多有用的信息。提供了一份用户手册,其中包含用于启动和运行服务的大量演练和指南。 LastPass 用户可以在故障排除论坛中提问和回答问题以互相帮助。深入探讨风格的博客提供有关数字隐私主题以及 LastPass 功能和开发的优秀文章。
我们发现的一个小问题是,很难找到直接联系该公司的方式。该网站的页脚没有惯常的“联系我们”部分,并且通过支持部分进行搜索并不会立即为您提供联系支持人员的机会。但是,如果您最终确实查看了用户手册并浏览了一些问题的答案,您将在回复底部看到联系表格。
不过,高级用户可以通过免费试用获得高级支持高级订阅我们没有看到差异,这意味着您可能需要实际付费才能获得更好的支持。总而言之,支持非常好,但我们确实体验到了更好的体验。另一方面,该服务的解释非常清楚,以至于用户似乎不太可能真正经常需要帮助。
结论
当谈到获得一个可以无限使用的免费密码管理器时,LastPass 是很难被击败的。免费帐户可用于存储您的所有密码,并且您可以在所有设备上使用它。
它提供端到端加密的事实意味着您可以完全控制密码密钥,这本质上是确保密码完全安全的唯一方法。双因素身份验证和位置安全功能使 LastPass 更加安全。
LastPass 是闭源的这一事实可能会让一些人望而却步。如果这对您来说是一个障碍,那么您将需要坚持使用开源密码管理器,例如 Bitdefender。
然而,对于大多数人来说,这个密码管理器将完成工作 - 虽然它并不像许多评论家所建议的那么出色,但对于那些不想为具有客户端加密功能的密码管理器付费的人来说,它无疑是一个绝佳的选择。非常值得使用免费版本进行测试运行。