Як LastPass зберігає мої паролі на своєму веб-сайті?


15

LastPass рекламує, що вони роблять локальне шифрування паролів перед тим, як їх перенести та зберігати на своєму веб-сайті. Однак, коли я входжу зі своїм минулим паролем, я можу отримати доступ до всіх своїх паролів із чітким текстом там. Чи це не означає, що вони також мають доступ до всіх моїх паролів? Як я можу переконатися, що вони не мають доступу до моїх паролів?



1
Стів Гібсон каже, що це все вище. Це досить добре для мене. blog.lastpass.com/2010/07/…
але

Відповіді:


18

Все шифрування / дешифрування відбувається на вашому комп'ютері, а не на наших серверах. Це означає, що ваші конфіденційні дані не подорожують Інтернетом і ніколи не торкаються наших серверів, а лише зашифровані дані.

[...]

Ваш ключ шифрування створюється з вашої електронної адреси та головного пароля. Ваш головний пароль ніколи не надсилається на LastPass - це лише односторонній хеш вашого пароля при автентифікації, а це означає, що компоненти, що складають ваш ключ, залишаються локальними. Ось чому дуже важливо запам'ятати свій MasterPass пароль LastPass; ми цього не знаємо, і без цього ваші зашифровані дані безглузді. LastPass також пропонує розширені параметри безпеки, які дозволять вам додати більше шарів захисту.

Джерело: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Іншими словами, ваш комп’ютер шифрує ваші паролі своїм електронним повідомленням та головним паролем та відправляє ці дані на Lastpass. Коли ви автентифікуєтеся з головним паролем на Lastpass.com, Lastpass.com повертає всі ваші зашифровані паролі, які розшифровуються локально на вашому комп’ютері за допомогою вашої електронної пошти та головного пароля. Кожне спілкування відбувається через SSL, тому будь-яке перехоплене вдвічі марне (оскільки все зашифровано не лише SSL-ключами, але й вашим електронною поштою та головним паролем).

Найкращий спосіб цього забезпечити - це налаштувати скрипт для моніторингу активності в мережі та перевірити, чи все, що розшифровується (включаючи головний пароль), переходить до lastpass.com. Виходячи з того, що я бачив на форумах, схоже, що інші користувачі зробили це і не виявили нічого підозрілого.


Як я можу зайти на lastpass.com в Safari (без плагіна Lastpass firefox) і побачити всі мої паролі?
чов

1
@chovy Ви бачите їх у своєму браузері - це інакше, ніж бачити їх на сервері. Так, необроблені дані надходять із сервера, але вони розшифровуються за допомогою локальних даних для вашого комп'ютера, перш ніж вони будуть показані вам.
Том

1
Як паролі зберігаються локально на апараті? У простому тексті?
Meekohi

2

Я просто перевірив, що сказав waiwai , і на сервер останнього пароля був переданий лише хеш, і були повернуті лише зашифровані паролі. Це схоже на ключ, отриманий і зберігається в локальному сховищі.

Щоб викрасти головний пароль, потрібна вразливість або компроміс для сервера (або, принаймні, необхідний), щоб хтось змінив спосіб поведінки програми. На мою думку, Lastpass безпечний для нормального використання Інтернету, але його не слід використовувати для цілей високої цінності, які можуть бути після кваліфікованих зловмисників.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.