In che modo LastPass memorizza le mie password sul loro sito Web?


15

LastPass pubblicizza che eseguono la crittografia locale delle password prima che vengano trasferite e archiviate sul loro sito Web. Tuttavia, quando eseguo l'accesso con la mia password passata, posso accedere a tutte le mie password in chiaro lì. Ciò non implica che abbiano anche accesso a tutte le mie password? Come posso verificare che non abbiano accesso alle mie password?



1
Steve Gibson dice che è sempre al top. È abbastanza buono per me. blog.lastpass.com/2010/07/…
ale

Risposte:


18

Tutta la crittografia / decrittografia si verifica sul tuo computer, non sui nostri server. Ciò significa che i tuoi dati sensibili non viaggiano su Internet e non toccano mai i nostri server, ma solo i dati crittografati.

[...]

La chiave di crittografia viene creata dall'indirizzo e-mail e dalla password principale. La password principale non viene mai inviata a LastPass, solo un hash unidirezionale della password durante l'autenticazione, il che significa che i componenti che compongono la chiave rimangono locali. Questo è il motivo per cui è molto importante ricordare la password principale di LastPass; non lo sappiamo e senza di esso i tuoi dati crittografati non hanno senso. LastPass offre anche opzioni di sicurezza avanzate che ti consentono di aggiungere più livelli di protezione.

Fonte: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

In altre parole, il tuo computer crittografa le tue password con la tua e-mail e la tua password principale e invia tali dati a Lastpass. Quando esegui l'autenticazione con la tua password principale su Lastpass.com, Lastpass.com restituisce tutte le tue password crittografate, che vengono decodificate localmente sul tuo computer con la tua e-mail e la password principale. Ogni comunicazione avviene tramite SSL, quindi qualsiasi cosa intercettata è doppiamente inutile (poiché tutto è crittografato non solo con le chiavi SSL ma con la tua e-mail e la password principale).

Il modo migliore per garantire ciò è impostare uno script per monitorare l'attività di rete e vedere se tutto ciò che viene decrittografato (inclusa la password principale) va su lastpass.com. Sulla base di ciò che ho visto sui forum, sembra che altri utenti abbiano fatto questo e non abbiano trovato nulla di sospetto.


Come mai posso accedere a lastpass.com in Safari (senza il plugin firefox Lastpass) e vedere tutte le mie password allora?
amorevole

1
@chovy Li vedi nel tuo browser - è diverso dal vederli sul server. Sì, i dati non elaborati provengono dal server, ma vengono decrittografati utilizzando i dati locali sul computer prima che vengano visualizzati.
Tom

1
Come vengono archiviate le password localmente sulla macchina? In chiaro?
Meekohi,

2

Ho appena verificato ciò che ha detto waiwai , e solo un hash è stato trasmesso al server lastpass e sono state restituite solo password crittografate. Sembra una chiave derivata e memorizzata nella memoria locale.

Per rubare la tua password principale, una vulnerabilità o un compromesso del server sarebbe (o almeno dovrebbe) essere necessario per qualcuno per modificare il modo in cui l'applicazione si comporta. La mia opinione è che lastpass sia sicuro per il normale utilizzo del Web, ma non dovrebbe essere usato per obiettivi di alto valore che gli attaccanti qualificati potrebbero cercare.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.