LastPass сообщает, что они выполняют локальное шифрование паролей перед их передачей и хранением на своем веб-сайте. Однако, когда я вхожу со своим прошлым паролем, я могу получить доступ ко всем моим паролям в виде открытого текста. Разве это не означает, что они также имеют доступ ко всем моим паролям? Как я могу убедиться, что у них нет доступа к моим паролям?
encryption
passwords
lastpass
Джелил
источник
источник
Ответы:
Источник: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
Другими словами, ваш компьютер шифрует ваши пароли с помощью вашей электронной почты и мастер-пароля и отправляет эти данные в Lastpass. Когда вы проходите аутентификацию с помощью своего мастер-пароля на Lastpass.com, Lastpass.com возвращает все ваши зашифрованные пароли, которые дешифруются локально на вашем компьютере с помощью вашей электронной почты и мастер-пароля. Каждое общение происходит по SSL, поэтому все перехваченное бесполезно вдвойне (поскольку все шифруется не только ключами SSL, но и вашей электронной почтой и мастер-паролем).
Лучший способ убедиться в этом - настроить скрипт для мониторинга сетевой активности и проверки того, что все, что расшифровано (включая главный пароль), отправляется на lastpass.com. Судя по тому, что я видел на форумах, другие пользователи сделали это и не нашли ничего подозрительного.
источник
Я только что проверил, что сказал waiwai , и на сервер lastpass был передан только хэш, и были возвращены только зашифрованные пароли. Это похоже на ключ, полученный и хранящийся в локальном хранилище.
Для кражи вашего мастер-пароля кому-то (или, по крайней мере, необходимо) будет необходима уязвимость или компрометация сервера, чтобы изменить поведение приложения. Мое мнение таково, что lastpass безопасен для обычного использования в Интернете, но не должен использоваться для целей высокой ценности, за которыми могут охотиться квалифицированные злоумышленники.
источник