密码管理器LastPass最近推出了一个新功能，支持存放二次验证码/双因素验证因子。对于黑客来说，这可能是个好消息。

近年来数据泄漏事件频发，越来越多人开始使用双因素验证，来保护个人账号不受攻击者觊觎，以及检查是否有人试图登录。

一般情况下，当你要登录某个账号时，网站会将发送一次性验证码到你的设备上（通常是手机），并要求填写验证码才能继续。

Google、Facebook、Dropbox在内的许多公司也在使用另一种方式，在设备或应用程序内生成一次性验证码。你在账号设置里打开双因素验证，使用相关应用扫描对应的二维码，以后应用就会每分钟刷新一个验证码了。每次登录输入账号密码后，再把当时那一分钟的验证码填进去，便能登录。

下边这种正是LastPass此次支持的功能。LastPass Authenticator，LastPass新出的验证码应用，支持所以基于时间的一次性密码标准（TOTP）算法的服务。它将双因素验证因子存储在LastPass账号中，可以在不同设备之间云同步。

很方便对吧？但这对用户来说可能不太妙。

如果有人盗走你的LastPass账号，LastPass Authenticator将破坏双因素验证的优势：使用不同设备做第二次验证。

使用密码管理器要好于只使用几个固定密码，因为至少你可以为每个网站设置不同的、更复杂的密码。

但它也带来了单点危机——你的所有密码都存在LastPass上，而现在还要再加上二次验证码，将使单点危机更为严重，就像往装满鸡蛋的篮子里继续添放鸡蛋一样。

在现实世界，这可能只是一个理论上的风险，只要你为LastPass账号设置了复杂密码，关键数据失窃的风险会非常小。

LastPass历史上曾经发生过两次被黑事件（官方称失窃数据是加密保护的），在最近，LastPass出现过网站故障，自身的双因素验证被曝出多个严重漏洞。