¿Cómo almacena LastPass mis contraseñas en su sitio web?

LastPass anuncia que cifran localmente las contraseñas antes de transferirlas y almacenarlas en su sitio web. Sin embargo, cuando inicio sesión con mi contraseña anterior, puedo acceder a todas mis contraseñas en texto claro allí. ¿No implica esto que también tienen acceso a todas mis contraseñas? ¿Cómo puedo verificar que no tienen acceso a mis contraseñas?

Todo el cifrado / descifrado ocurre en su computadora, no en nuestros servidores. Esto significa que sus datos confidenciales no viajan a través de Internet y nunca toca nuestros servidores, solo lo hacen los datos cifrados.

[...]

Su clave de cifrado se crea a partir de su dirección de correo electrónico y contraseña maestra. Su contraseña maestra nunca se envía a LastPass, solo un hash unidireccional de su contraseña cuando se autentica, lo que significa que los componentes que componen su clave permanecen locales. Por eso es muy importante recordar su contraseña maestra de LastPass; no lo sabemos y sin él sus datos cifrados no tienen sentido. LastPass también ofrece opciones de seguridad avanzadas que le permiten agregar más capas de protección.

Fuente: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

En otras palabras, su computadora encripta sus contraseñas con su correo electrónico y contraseña maestra y envía esos datos a Lastpass. Cuando se autentica con su contraseña maestra en Lastpass.com, Lastpass.com devuelve todas sus contraseñas cifradas, que se descifran localmente en su computadora con su correo electrónico y contraseña maestra. Cada comunicación se realiza a través de SSL, por lo que cualquier cosa interceptada es doblemente inútil (ya que todo está encriptado no solo con las claves SSL sino con su correo electrónico y contraseña maestra).

La mejor manera de garantizar esto es configurar un script para monitorear la actividad de la red y ver si algo que se descifra (incluida la contraseña maestra) va a lastpass.com. Según lo que he visto en los foros, parece que otros usuarios han hecho esto y no encontraron nada sospechoso.

Acabo de verificar lo que dijo waiwai , y solo se transmitió un hash al servidor de último paso, y solo se devolvieron las contraseñas cifradas. Parece una clave derivada y almacenada en el almacenamiento local.

Para robar su contraseña maestra, se necesitaría (o al menos debería) una vulnerabilidad o compromiso del servidor para que alguien modifique el comportamiento de la aplicación. Mi opinión es que lastpass es seguro para el uso normal de la web, pero no debe usarse para objetivos de alto valor que puedan perseguir atacantes expertos.