儘管如此,2025 年 3 月,LastPass 在第七屆年度網絡防禦雜誌上榮獲身份管理最佳產品獎信息安全獎項。這證明了該產品始終受到評論家的高度評價。那麼,所有的炒作都是值得的嗎? LastPass 真的是您最後需要的密碼管理器嗎?
概述
當談到記住密碼時,沒有比密碼管理器更好的方法了。為了確保您所有帳戶的安全,所有密碼都必須複雜且唯一,這一點非常重要。一遍又一遍地使用相同的密碼會讓您面臨黑客攻擊的威脅 - LastPass 等服務旨在幫助您。
使用 LastPass,您可以設置一個主密碼,所有其他密碼都位於該主密碼後面。而且,LastPass 旨在通過即時自動將您的密碼填寫到在線表格中來讓您的生活變得輕鬆。
LastPass 是一款免費增值產品,這意味著它可以免費使用其所有最重要的設置和功能。但是,它確實有一些應用內購買來擴展這些功能,根據您的特定需求,這些功能可能是必要的。單個用戶可以免費訪問無限的密碼存儲、所有設備上的密碼訪問、雙因素身份驗證、安全的一對一共享功能、安全筆記、密碼生成器以及用於檢查密碼安全性的工具。
每月支付 3 美元的高級訂閱用戶可以獲得以上所有附加功能:與多個用戶共享、緊急訪問、高級多因素選項、優先技術支持、LastPass 應用程序和 1GB 加密文件存儲。這些功能只能由一名用戶使用。
升級到每月花費 4 美元,允許的用戶數量將增加到 6 個。而且,每個用戶都有自己的主密碼來訪問自己的個人保管庫。此外,這些用戶還可以訪問文件夾中的分組和共享項目以及用於實施管理控制的經理儀表板。
設定
獲得 LastPass 的免費或付費帳戶非常容易,甚至可以試用付費版本 - 用於測試這些附加功能 30 天。在本次評測中,我們決定嘗試 30 天的高級選項,以測試運行所有這些功能。
試用的好處是您不需要提供卡的詳細信息。而且,在最初的 30 天期限之後,如果您決定不支付 Premium 附帶的額外功能,您的帳戶將恢復為免費帳戶。
提供主密碼和電子郵件地址後,系統會提示用戶下載瀏覽器擴展 - 這將使 LastPass 能夠自動填充密碼並將密碼保存到密碼庫中。我們安裝了 Chrome 擴展程序,因為這是我們用於測試的瀏覽器。但是,擴展適用於 Firefox、Opera、Edge 和 Safari。
LastPass 用戶還可以選擇下載該軟件的獨立桌面或移動版本,這將允許他們使用 LastPass 在其應用程序中以及在線填寫密碼。
登錄擴展程序後,系統會提示用戶保存其第一個密碼。這是一個很好的功能,可以作為如何使用密碼管理器的演練。我們點擊了 Facebook,這導致 Facebook 主頁被打開,並附有說明,您只需照常登錄即可,您的密碼將自動保存到保管庫中。
這是向保管庫添加密碼的最簡單方法。但是,我們想測試手動添加密碼以了解該過程 - 因此我們放棄了自動化,直接進入基於瀏覽器的客戶端。
登錄基於瀏覽器的客戶端會啟動另一個自動演練,旨在引導您完成所有內容。如果您熟悉密碼管理器,這可能不是必需的,您可以選擇跳過它。然而,對於初學者來說,這是一個寶貴的資源,可以消除在適應新平台時有時會遇到的尷尬的學習曲線。
我們首先添加一個文件夾來保存我們的社交媒體密碼。為此,只需單擊添加文件夾按鈕位於添加項目客戶端右下角的圖標(將鼠標放在該圖標上時會出現)。
創建文件夾後,我們繼續手動添加 Twitter 帳戶的密碼。
正如您所看到的,可以保存多個數據集,包括付款詳細信息、地址信息、銀行帳戶詳細信息或安全註釋。我們點擊了密碼。
由於表單的存在,添加密碼很容易,但是,令我們遺憾的是,密碼生成器沒有集成到該過程的這一部分中 - 就像其他一些密碼管理器一樣。高級選項允許您選擇是否希望自動填充密碼,以及出於安全目的是否每次都重新提示您自動填充。我們選擇這個是因為它是一個很好的功能。
添加密碼後,我們前往該網站檢查它是否會自動填充,並很高興地發現它沒有任何問題。
雖然對於大多數用戶來說沒有必要手動添加密碼,但了解文件夾的工作原理還是很不錯的,我們總體上印象深刻。但是,自動保存密碼仍然是迄今為止以最少的努力保存密碼的最佳方法。因此,實際上,您只需像平常一樣訪問您使用的網站和服務,LastPass 將為您完成所有艱苦的工作。
導入和導出密碼
接下來,我們決定測試導入功能。為此,請單擊更多選擇在客戶端的左下角,然後是先進的。在這裡你會發現進口和出口特徵。
單擊“導入”將打開一個特殊的導入工具,它允許您從大量導入選項中進行選擇。我們決定選擇通過常規 CSV 文件導入。但是,您可以直接從最流行的第三方密碼管理器導入。
導入屏幕將根據您的選擇引導您完成整個過程。我們被指示在記事本中打開 CSV 文件條目,以便我們可以將它們複製並粘貼到導入字段中。誠然,這比其他密碼管理器的工作稍微困難一些,但這也不是一個大問題。
在 Windows 記事本中打開 CSV 條目後,我們只需將數據複製並粘貼到表單中即可。總而言之,這個過程只花了我們幾分鐘。
接下來,我們研究了導出功能,如果您決定離開 LastPass 使用不同的(可能是開源的!)密碼管理器,那麼這是一個有用的工具。導出功能會將您帶到包含所有個人密碼字段的純文本文檔。用戶無法選擇以各種格式導出,這有點令人失望。但是,您將能夠完成工作。
註釋功能
註釋功能可供想要在雲中存儲信息的用戶使用。這對於密碼管理任務來說並不是必需的,但它是一個有用的資源,允許人們為自己設置提醒。雖然表單確實有一個附件按鈕,但我們無法讓它工作。
緊急聯繫人
高級用戶和家庭用戶可以選擇在緊急情況下授予某人訪問其帳戶的權限。這確保了在需要時可以建立對帳戶的訪問。
通過文件夾共享
任何想要共享密碼文件夾的人都可以通過共享中心來實現。例如,用戶可以設置單獨的文件夾來授予其他用戶訪問權限,以便可以在同事之間共享密碼。此功能僅適用於計劃,或在版本。
總而言之,免費提供的一系列功能令人印象深刻。密碼管理器很容易上手,而且教程也讓初學者也能輕鬆上手。如果您確實需要一些額外的功能,那麼支付服務費用並不昂貴。然而,對於大多數人來說,免費服務似乎就足夠了。這很好,因為這意味著該公司沒有像許多其他服務那樣大規模限制免費版本。
隱私和安全
LastPass 是一家總部位於美國的公司,這意味著理論上它可能會收到搜查令和禁言令,迫使其交出所掌握的有關消費者的任何數據。然而,由於 LastPass 提供客戶端端到端加密 - 它永遠不應該將任何敏感密碼數據傳遞給當局 - 即使它得到了搜查令。
另一方面,這個密碼管理器是閉源的——有些人可能覺得這是有問題的。封閉源代碼無法獨立審核後門或漏洞,這意味著您必須相信該公司能夠提供其聲稱的服務水平。雖然我們沒有理由不信任 LastPass - 市場上有 Bitdefender 等開源密碼管理器,它們以完全透明的方式提供與 LastPass 相同級別的服務。根據您的個人威脅模型,這可能更可取。
談談加密本身。 LastPass 根據主密碼創建本地生成的密鑰,該密鑰永遠不會上傳或共享到 LastPass 服務器。此密鑰是使用強大的 AES 256 CBC 加密以及 PBKDF2 SHA-256 和加鹽哈希創建的。這種級別的加密是安全的,並且由於用戶保留對其密鑰的完全控制權,因此不必擔心 LastPass 員工可能會訪問您的密碼。
雙因素身份驗證和位置檢查安全性使黑客更難訪問帳戶。用戶每次在新位置登錄密碼時,都會被要求通過電子郵件中的鏈接進行確認。這是一個很棒的功能,但我們仍然建議設置 2FA。
對於願意的用戶,可以設置主密碼提示,這將有助於用戶在忘記密碼時記住密碼。然而,重要的是提示不要使密碼過於明顯,因為如果這樣做,您的帳戶可能面臨被洩露的風險。我們建議您堅持使用複雜的密碼,並將其存儲在極其安全的地方,以免忘記。請記住,如果您忘記了密碼,您將無法訪問您的密碼。
接下來,我們使用 Qualys SSL 實驗室檢查了 LastPass 的 TLS/SSL 實施,以確保您的數據在傳輸過程中是安全的。 Qualys 的分析顯示,該服務得分為 A+,這意味著 HSTS 正確實施了 SSL,並且您的數據在從瀏覽器傳遞到服務器時是安全的。除了已經提供的端到端加密之外,這還為您的數據增加了一層額外的保護。
與所有基於瀏覽器的客戶端一樣,在瀏覽器中運行 LastPass 會使您面臨由 JavaScript 與瀏覽器通信的方式引起的潛在漏洞。這可以讓黑客發起中間人攻擊。
這並不是 LastPass 所獨有的,而且是一種針對性極強的攻擊,不太可能對您產生影響。然而,這是可能的,任何想要避免這種情況的人最好堅持使用獨立的桌面客戶端和瀏覽器擴展。
最後,我們檢查了隱私政策,以確保一切看起來都正常。我們發現整個政策和服務條款都是標準票價。儘管該公司確實承認,如果當局要求的話,它將與當局合作,但它只能提供付款詳細信息和訂閱本身的詳細信息,因為所有其他數據均由客戶加密。
我們確實注意到的一件事是,其網站上的跟踪水平有點令人失望(對於基於隱私的服務)。對於任何面向消費者的產品來說,幾乎總是需要進行一些跟踪。然而,儘管大多數密碼管理器都堅持最低限度的跟踪,但 PrivacyBadger 警告我們 LastPass 網站上有 21 個潛在的跟踪器,這個數量已經很多了。
特徵
- 安全密碼庫
- 在所有設備上訪問
- 適用於所有平台的應用程序
- 瀏覽器擴展
- 一對一分享
- 密碼生成器
- 自動填充密碼
- 即時自動保存密碼
- 同步密碼
- 安全筆記
- 安全挑戰
- 多重身份驗證
- LastPass 身份驗證器
高級功能
- 一對多共享
- 緊急通道
- 高級多因素選項
- 優先技術支持
- LastPass 申請
- 1 GB 加密文件存儲
客戶服務
儘管 LastPass 的網站上似乎有實時聊天支持,但該服務實際上是一個機器人。儘管它可以為您提供有用的信息,但它的局限性在於它並不總是能理解您所問的內容。我們希望註冊表單中的可選“提醒”字段進行解釋,但人工智能無法理解我們想知道的內容。事實上,我們問了它一些它無法理解的問題。
儘管有這個小缺點,LastPass 網站仍然包含許多有用的信息。提供了一份用戶手冊,其中包含用於啟動和運行服務的大量演練和指南。 LastPass 用戶可以在故障排除論壇中提問和回答問題以互相幫助。深入探討風格的博客提供有關數字隱私主題以及 LastPass 功能和開發的優秀文章。
我們發現的一個小問題是很難找到直接聯繫該公司的方式。該網站的頁腳沒有慣常的“聯繫我們”部分,並且通過支持部分進行搜索並不會立即為您提供聯繫支持人員的機會。但是,如果您最終確實查看了用戶手冊並瀏覽了一些問題的答案,您將在回复底部看到聯繫表格。
不過,高級用戶可以通過免費試用獲得高級支持高級訂閱我們沒有看到差異,這意味著您可能需要實際付費才能獲得更好的支持。總而言之,支持非常好,但我們絕對體驗到了更好的體驗。另一方面,該服務的解釋非常清楚,以至於用戶似乎不太可能真正經常需要幫助。
結論
當談到獲得一個可以無限使用的免費密碼管理器時,LastPass 是很難被擊敗的。免費帳戶可用於存儲您的所有密碼,並且您可以在所有設備上使用它。
它提供端到端加密的事實意味著您可以完全控制密碼密鑰,這本質上是確保密碼完全安全的唯一方法。雙因素身份驗證和位置安全功能使 LastPass 更加安全。
LastPass 是閉源的這一事實可能會讓一些人望而卻步。如果這對您來說是一個障礙,那麼您將需要堅持使用開源密碼管理器,例如 Bitdefender。
然而,對於大多數人來說,這個密碼管理器將完成工作 - 雖然它並不像許多評論家所建議的那麼出色,但對於那些不想為具有客戶端加密功能的密碼管理器付費的人來說,它無疑是一個絕佳的選擇。非常值得使用免費版本進行測試運行。