LastPass annonce qu'ils effectuent le cryptage local des mots de passe avant qu'ils ne soient transférés et stockés sur leur site Web. Cependant, lorsque je me connecte avec mon ancien mot de passe, je peux accéder à tous mes mots de passe en texte clair. Cela ne signifie-t-il pas qu'ils ont également accès à tous mes mots de passe? Comment puis-je vérifier qu'ils n'ont pas accès à mes mots de passe?
encryption
passwords
lastpass
dzhelil
la source
la source
Réponses:
Source: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
En d'autres termes, votre ordinateur crypte vos mots de passe avec votre e-mail et votre mot de passe principal et envoie ces données à Lastpass. Lorsque vous vous authentifiez avec votre mot de passe principal sur Lastpass.com, Lastpass.com renvoie tous vos mots de passe cryptés, qui sont décryptés localement sur votre ordinateur avec votre adresse e-mail et votre mot de passe principal. Chaque communication se fait via SSL, donc tout ce qui est intercepté est doublement inutile (puisque tout est crypté non seulement avec les clés SSL mais avec votre e-mail et votre mot de passe principal).
La meilleure façon de garantir cela est de configurer un script pour surveiller l'activité du réseau et de voir si tout ce qui est décrypté (y compris le mot de passe principal) va à lastpass.com. D'après ce que j'ai vu sur les forums, il semble que d'autres utilisateurs aient fait cela et n'aient rien trouvé de suspect.
la source
Je viens de vérifier ce que waiwai a dit , et seul un hachage a été transmis au serveur lastpass, et seuls les mots de passe cryptés ont été renvoyés. Il ressemble à une clé dérivée et stockée dans le stockage local.
Pour voler votre mot de passe principal, une vulnérabilité ou une compromission du serveur serait (ou du moins devrait) être nécessaire pour que quelqu'un modifie le comportement de l'application. À mon avis, lastpass est sûr pour une utilisation Web normale, mais ne doit pas être utilisé pour les cibles de grande valeur que les attaquants qualifiés peuvent rechercher.
la source