Все шифрування / дешифрування відбувається на вашому комп'ютері, а не на наших серверах. Це означає, що ваші конфіденційні дані не подорожують Інтернетом і ніколи не торкаються наших серверів, а лише зашифровані дані.
[...]
Ваш ключ шифрування створюється з вашої електронної адреси та головного пароля. Ваш головний пароль ніколи не надсилається на LastPass - це лише односторонній хеш вашого пароля при автентифікації, а це означає, що компоненти, що складають ваш ключ, залишаються локальними. Ось чому дуже важливо запам'ятати свій MasterPass пароль LastPass; ми цього не знаємо, і без цього ваші зашифровані дані безглузді. LastPass також пропонує розширені параметри безпеки, які дозволять вам додати більше шарів захисту.
Джерело: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
Іншими словами, ваш комп’ютер шифрує ваші паролі своїм електронним повідомленням та головним паролем та відправляє ці дані на Lastpass. Коли ви автентифікуєтеся з головним паролем на Lastpass.com, Lastpass.com повертає всі ваші зашифровані паролі, які розшифровуються локально на вашому комп’ютері за допомогою вашої електронної пошти та головного пароля. Кожне спілкування відбувається через SSL, тому будь-яке перехоплене вдвічі марне (оскільки все зашифровано не лише SSL-ключами, але й вашим електронною поштою та головним паролем).
Найкращий спосіб цього забезпечити - це налаштувати скрипт для моніторингу активності в мережі та перевірити, чи все, що розшифровується (включаючи головний пароль), переходить до lastpass.com. Виходячи з того, що я бачив на форумах, схоже, що інші користувачі зробили це і не виявили нічого підозрілого.