Comment LastPass stocke-t-il mes mots de passe sur leur site Web?

LastPass annonce qu'ils effectuent le cryptage local des mots de passe avant qu'ils ne soient transférés et stockés sur leur site Web. Cependant, lorsque je me connecte avec mon ancien mot de passe, je peux accéder à tous mes mots de passe en texte clair. Cela ne signifie-t-il pas qu'ils ont également accès à tous mes mots de passe? Comment puis-je vérifier qu'ils n'ont pas accès à mes mots de passe?

Tout le cryptage / décryptage se produit sur votre ordinateur, pas sur nos serveurs. Cela signifie que vos données sensibles ne transitent pas sur Internet et qu'elles ne touchent jamais nos serveurs, seules les données cryptées le font.

[...]

Votre clé de cryptage est créée à partir de votre adresse e-mail et de votre mot de passe principal. Votre mot de passe principal n'est jamais envoyé à LastPass, uniquement un hachage unidirectionnel de votre mot de passe lors de l'authentification, ce qui signifie que les composants qui composent votre clé restent locaux. C'est pourquoi il est très important de se souvenir de votre mot de passe principal LastPass; nous ne le savons pas et sans lui vos données chiffrées n'ont aucun sens. LastPass propose également des options de sécurité avancées qui vous permettent d'ajouter plus de couches de protection.

Source: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

En d'autres termes, votre ordinateur crypte vos mots de passe avec votre e-mail et votre mot de passe principal et envoie ces données à Lastpass. Lorsque vous vous authentifiez avec votre mot de passe principal sur Lastpass.com, Lastpass.com renvoie tous vos mots de passe cryptés, qui sont décryptés localement sur votre ordinateur avec votre adresse e-mail et votre mot de passe principal. Chaque communication se fait via SSL, donc tout ce qui est intercepté est doublement inutile (puisque tout est crypté non seulement avec les clés SSL mais avec votre e-mail et votre mot de passe principal).

La meilleure façon de garantir cela est de configurer un script pour surveiller l'activité du réseau et de voir si tout ce qui est décrypté (y compris le mot de passe principal) va à lastpass.com. D'après ce que j'ai vu sur les forums, il semble que d'autres utilisateurs aient fait cela et n'aient rien trouvé de suspect.

Je viens de vérifier ce que waiwai a dit , et seul un hachage a été transmis au serveur lastpass, et seuls les mots de passe cryptés ont été renvoyés. Il ressemble à une clé dérivée et stockée dans le stockage local.

Pour voler votre mot de passe principal, une vulnérabilité ou une compromission du serveur serait (ou du moins devrait) être nécessaire pour que quelqu'un modifie le comportement de l'application. À mon avis, lastpass est sûr pour une utilisation Web normale, mais ne doit pas être utilisé pour les cibles de grande valeur que les attaquants qualifiés peuvent rechercher.