LastPass anuncia que cifran localmente las contraseñas antes de transferirlas y almacenarlas en su sitio web. Sin embargo, cuando inicio sesión con mi contraseña anterior, puedo acceder a todas mis contraseñas en texto claro allí. ¿No implica esto que también tienen acceso a todas mis contraseñas? ¿Cómo puedo verificar que no tienen acceso a mis contraseñas?
encryption
passwords
lastpass
dzhelil
fuente
fuente
Respuestas:
Fuente: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
En otras palabras, su computadora encripta sus contraseñas con su correo electrónico y contraseña maestra y envía esos datos a Lastpass. Cuando se autentica con su contraseña maestra en Lastpass.com, Lastpass.com devuelve todas sus contraseñas cifradas, que se descifran localmente en su computadora con su correo electrónico y contraseña maestra. Cada comunicación se realiza a través de SSL, por lo que cualquier cosa interceptada es doblemente inútil (ya que todo está encriptado no solo con las claves SSL sino con su correo electrónico y contraseña maestra).
La mejor manera de garantizar esto es configurar un script para monitorear la actividad de la red y ver si algo que se descifra (incluida la contraseña maestra) va a lastpass.com. Según lo que he visto en los foros, parece que otros usuarios han hecho esto y no encontraron nada sospechoso.
fuente
Acabo de verificar lo que dijo waiwai , y solo se transmitió un hash al servidor de último paso, y solo se devolvieron las contraseñas cifradas. Parece una clave derivada y almacenada en el almacenamiento local.
Para robar su contraseña maestra, se necesitaría (o al menos debería) una vulnerabilidad o compromiso del servidor para que alguien modifique el comportamiento de la aplicación. Mi opinión es que lastpass es seguro para el uso normal de la web, pero no debe usarse para objetivos de alto valor que puedan perseguir atacantes expertos.
fuente