Як LastPass зберігає мої паролі на своєму веб-сайті?

LastPass рекламує, що вони роблять локальне шифрування паролів перед тим, як їх перенести та зберігати на своєму веб-сайті. Однак, коли я входжу зі своїм минулим паролем, я можу отримати доступ до всіх своїх паролів із чітким текстом там. Чи це не означає, що вони також мають доступ до всіх моїх паролів? Як я можу переконатися, що вони не мають доступу до моїх паролів?

Все шифрування / дешифрування відбувається на вашому комп'ютері, а не на наших серверах. Це означає, що ваші конфіденційні дані не подорожують Інтернетом і ніколи не торкаються наших серверів, а лише зашифровані дані.

[...]

Ваш ключ шифрування створюється з вашої електронної адреси та головного пароля. Ваш головний пароль ніколи не надсилається на LastPass - це лише односторонній хеш вашого пароля при автентифікації, а це означає, що компоненти, що складають ваш ключ, залишаються локальними. Ось чому дуже важливо запам'ятати свій MasterPass пароль LastPass; ми цього не знаємо, і без цього ваші зашифровані дані безглузді. LastPass також пропонує розширені параметри безпеки, які дозволять вам додати більше шарів захисту.

Джерело: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Іншими словами, ваш комп’ютер шифрує ваші паролі своїм електронним повідомленням та головним паролем та відправляє ці дані на Lastpass. Коли ви автентифікуєтеся з головним паролем на Lastpass.com, Lastpass.com повертає всі ваші зашифровані паролі, які розшифровуються локально на вашому комп’ютері за допомогою вашої електронної пошти та головного пароля. Кожне спілкування відбувається через SSL, тому будь-яке перехоплене вдвічі марне (оскільки все зашифровано не лише SSL-ключами, але й вашим електронною поштою та головним паролем).

Найкращий спосіб цього забезпечити - це налаштувати скрипт для моніторингу активності в мережі та перевірити, чи все, що розшифровується (включаючи головний пароль), переходить до lastpass.com. Виходячи з того, що я бачив на форумах, схоже, що інші користувачі зробили це і не виявили нічого підозрілого.

Я просто перевірив, що сказав waiwai , і на сервер останнього пароля був переданий лише хеш, і були повернуті лише зашифровані паролі. Це схоже на ключ, отриманий і зберігається в локальному сховищі.

Щоб викрасти головний пароль, потрібна вразливість або компроміс для сервера (або, принаймні, необхідний), щоб хтось змінив спосіб поведінки програми. На мою думку, Lastpass безпечний для нормального використання Інтернету, але його не слід використовувати для цілей високої цінності, які можуть бути після кваліфікованих зловмисників.