W jaki sposób LastPass przechowuje moje hasła na swojej stronie internetowej?

LastPass reklamuje, że dokonuje lokalnego szyfrowania haseł, zanim zostaną one przesłane i zapisane na ich stronie internetowej. Jednak gdy loguję się przy użyciu mojego przeszłego hasła, mogę uzyskać dostęp do wszystkich moich haseł w postaci zwykłego tekstu. Czy to nie oznacza, że ​​mają również dostęp do wszystkich moich haseł? Jak mogę sprawdzić, czy nie mają dostępu do moich haseł?

Całe szyfrowanie / deszyfrowanie odbywa się na twoim komputerze, a nie na naszych serwerach. Oznacza to, że Twoje wrażliwe dane nie są przesyłane przez Internet i nigdy nie dotykają naszych serwerów, tylko dane zaszyfrowane.

[...]

Twój klucz szyfrowania jest tworzony na podstawie adresu e-mail i hasła głównego. Twoje hasło główne nigdy nie jest wysyłane do LastPass, tylko jednokierunkowy skrót hasła podczas uwierzytelniania, co oznacza, że ​​składniki tworzące klucz pozostają lokalne. Dlatego bardzo ważne jest, aby pamiętać swoje hasło główne LastPass; nie wiemy tego, a bez niego zaszyfrowane dane są bez znaczenia. LastPass oferuje również zaawansowane opcje zabezpieczeń, które pozwalają dodać więcej warstw ochrony.

Źródło: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Innymi słowy, komputer szyfruje hasła za pomocą adresu e-mail i hasła głównego i wysyła te dane do Lastpass. Po uwierzytelnieniu za pomocą hasła głównego w Lastpass.com, Lastpass.com zwraca wszystkie zaszyfrowane hasła, które są odszyfrowywane lokalnie na komputerze za pomocą adresu e-mail i hasła głównego. Każda komunikacja odbywa się za pośrednictwem protokołu SSL, więc wszelkie przechwycone dane są podwójnie bezużyteczne (ponieważ wszystko jest szyfrowane nie tylko kluczami SSL, ale także adresem e-mail i hasłem głównym).

Najlepszym sposobem, aby to zapewnić, jest skonfigurowanie skryptu do monitorowania aktywności sieciowej i sprawdzenie, czy wszystko, co zostało odszyfrowane (w tym hasło główne), trafi na stronę lastpass.com. Na podstawie tego, co widziałem na forach, wydaje się, że inni użytkownicy to zrobili i nie znaleźli nic podejrzanego.

Właśnie sprawdziłem, co powiedział Waiwai , i tylko hash został przesłany do serwera lastpass i zwrócone zostały tylko zaszyfrowane hasła. Wygląda jak klucz wyprowadzony i przechowywany w pamięci lokalnej.

Aby ukraść twoje hasło główne, potrzebna byłaby (lub przynajmniej powinna) zostać wydana luka lub kompromis, aby ktoś mógł zmienić sposób działania aplikacji. Uważam, że lastpass jest bezpieczny przy normalnym korzystaniu z sieci, ale nie powinien być używany do celów o wysokiej wartości, które mogą być poszukiwane przez wykwalifikowanych atakujących.