In che modo LastPass memorizza le mie password sul loro sito Web?

LastPass pubblicizza che eseguono la crittografia locale delle password prima che vengano trasferite e archiviate sul loro sito Web. Tuttavia, quando eseguo l'accesso con la mia password passata, posso accedere a tutte le mie password in chiaro lì. Ciò non implica che abbiano anche accesso a tutte le mie password? Come posso verificare che non abbiano accesso alle mie password?

Tutta la crittografia / decrittografia si verifica sul tuo computer, non sui nostri server. Ciò significa che i tuoi dati sensibili non viaggiano su Internet e non toccano mai i nostri server, ma solo i dati crittografati.

[...]

La chiave di crittografia viene creata dall'indirizzo e-mail e dalla password principale. La password principale non viene mai inviata a LastPass, solo un hash unidirezionale della password durante l'autenticazione, il che significa che i componenti che compongono la chiave rimangono locali. Questo è il motivo per cui è molto importante ricordare la password principale di LastPass; non lo sappiamo e senza di esso i tuoi dati crittografati non hanno senso. LastPass offre anche opzioni di sicurezza avanzate che ti consentono di aggiungere più livelli di protezione.

Fonte: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

In altre parole, il tuo computer crittografa le tue password con la tua e-mail e la tua password principale e invia tali dati a Lastpass. Quando esegui l'autenticazione con la tua password principale su Lastpass.com, Lastpass.com restituisce tutte le tue password crittografate, che vengono decodificate localmente sul tuo computer con la tua e-mail e la password principale. Ogni comunicazione avviene tramite SSL, quindi qualsiasi cosa intercettata è doppiamente inutile (poiché tutto è crittografato non solo con le chiavi SSL ma con la tua e-mail e la password principale).

Il modo migliore per garantire ciò è impostare uno script per monitorare l'attività di rete e vedere se tutto ciò che viene decrittografato (inclusa la password principale) va su lastpass.com. Sulla base di ciò che ho visto sui forum, sembra che altri utenti abbiano fatto questo e non abbiano trovato nulla di sospetto.

Ho appena verificato ciò che ha detto waiwai , e solo un hash è stato trasmesso al server lastpass e sono state restituite solo password crittografate. Sembra una chiave derivata e memorizzata nella memoria locale.

Per rubare la tua password principale, una vulnerabilità o un compromesso del server sarebbe (o almeno dovrebbe) essere necessario per qualcuno per modificare il modo in cui l'applicazione si comporta. La mia opinione è che lastpass sia sicuro per il normale utilizzo del Web, ma non dovrebbe essere usato per obiettivi di alto valore che gli attaccanti qualificati potrebbero cercare.