Как LastPass хранит мои пароли на их веб-сайте?

15

LastPass сообщает, что они выполняют локальное шифрование паролей перед их передачей и хранением на своем веб-сайте. Однако, когда я вхожу со своим прошлым паролем, я могу получить доступ ко всем моим паролям в виде открытого текста. Разве это не означает, что они также имеют доступ ко всем моим паролям? Как я могу убедиться, что у них нет доступа к моим паролям?

Джелил
источник
1
Стив Гибсон говорит, что все в порядке. Это достаточно хорошо для меня. blog.lastpass.com/2010/07/…
эль

Ответы:

18

Все шифрование / дешифрование происходит на вашем компьютере, а не на наших серверах. Это означает, что ваши конфиденциальные данные не передаются через Интернет и никогда не затрагивают наши серверы, а только зашифрованные данные.

[...]

Ваш ключ шифрования создается из вашего адреса электронной почты и мастер-пароля. Ваш мастер-пароль никогда не отправляется на LastPass, только односторонний хэш вашего пароля при аутентификации, что означает, что компоненты, составляющие ваш ключ, остаются локальными. Вот почему очень важно запомнить ваш мастер-пароль LastPass; мы не знаем этого, и без этого ваши зашифрованные данные не имеют смысла. LastPass также предлагает расширенные параметры безопасности, которые позволяют добавлять больше уровней защиты.

Источник: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Другими словами, ваш компьютер шифрует ваши пароли с помощью вашей электронной почты и мастер-пароля и отправляет эти данные в Lastpass. Когда вы проходите аутентификацию с помощью своего мастер-пароля на Lastpass.com, Lastpass.com возвращает все ваши зашифрованные пароли, которые дешифруются локально на вашем компьютере с помощью вашей электронной почты и мастер-пароля. Каждое общение происходит по SSL, поэтому все перехваченное бесполезно вдвойне (поскольку все шифруется не только ключами SSL, но и вашей электронной почтой и мастер-паролем).

Лучший способ убедиться в этом - настроить скрипт для мониторинга сетевой активности и проверки того, что все, что расшифровано (включая главный пароль), отправляется на lastpass.com. Судя по тому, что я видел на форумах, другие пользователи сделали это и не нашли ничего подозрительного.

waiwai933
источник
Почему я могу войти на lastpass.com в Safari (без плагина Lastpass firefox) и посмотреть все мои пароли?
Чови
1
@chovy Вы видите их в своем браузере - это отличается от их просмотра на сервере. Да, необработанные данные поступают с сервера, но перед их отображением они дешифруются с использованием локальных данных на вашем компьютере.
Том
1
Как пароли хранятся локально на машине? В открытом тексте?
Meekohi
2

Я только что проверил, что сказал waiwai , и на сервер lastpass был передан только хэш, и были возвращены только зашифрованные пароли. Это похоже на ключ, полученный и хранящийся в локальном хранилище.

Для кражи вашего мастер-пароля кому-то (или, по крайней мере, необходимо) будет необходима уязвимость или компрометация сервера, чтобы изменить поведение приложения. Мое мнение таково, что lastpass безопасен для обычного использования в Интернете, но не должен использоваться для целей высокой ценности, за которыми могут охотиться квалифицированные злоумышленники.

Алекс Лауерман
источник