LastPass annonce qu'ils cryptent les mots de passe localement avant leur transfert et leur stockage sur leur site Web. Cependant, lorsque je me connecte avec mon mot de passe précédent, je peux accéder à tous mes mots de passe en texte clair. Cela ne signifie-t-il pas qu'ils ont également accès à tous mes mots de passe? Comment puis-je vérifier qu'ils n'ont pas accès à mes mots de passe?
Tout le cryptage/décryptage se produit sur votre ordinateur, pas sur nos serveurs. Cela signifie que vos données sensibles ne transitent pas par Internet et ne touchent jamais nos serveurs. Seules les données cryptées le font.
[...]
Votre clé de cryptage est créée à partir de votre adresse électronique et de votre mot de passe principal. Votre mot de passe principal n'est jamais envoyé à LastPass, il ne s'agit que d'un hachage à sens unique lors de l'authentification, ce qui signifie que les composants qui constituent votre clé restent locaux. C'est pourquoi il est très important de garder en mémoire votre mot de passe principal LastPass. nous ne le savons pas et sans cela, vos données cryptées n'ont pas de sens. LastPass propose également des options de sécurité avancées vous permettant d'ajouter davantage de couches de protection.
Source: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
En d’autres termes, votre ordinateur chiffre vos mots de passe avec votre courrier électronique et votre mot de passe principal et envoie ces données à Lastpass. Lorsque vous vous authentifiez avec votre mot de passe principal sur Lastpass.com, Lastpass.com renvoie tous vos mots de passe chiffrés, qui sont déchiffrés localement sur votre ordinateur avec votre adresse de courrier électronique et mot de passe maître. Toutes les communications se font via SSL, donc tout ce qui est intercepté est doublement inutile (puisque tout est crypté avec non seulement les clés SSL, mais également votre email et votre mot de passe principal).
Le meilleur moyen de vous en assurer est de configurer un script pour surveiller l'activité du réseau et voir si tout ce qui est déchiffré (y compris le mot de passe principal) va à lastpass.com. D'après ce que j'ai vu sur les forums, il semble que d'autres utilisateurs l'aient fait et n'ont rien trouvé de suspect.
Je viens de vérifier ce que waiwai a dit , et seul un hachage a été transmis au serveur lastpass, et seuls les mots de passe chiffrés ont été renvoyés. Cela ressemble à une clé dérivée et stockée dans un stockage local.
Pour voler votre mot de passe principal, une vulnérabilité ou une compromission du serveur serait (ou du moins, devrait) être nécessaire pour que quelqu'un modifie le comportement de l'application. Mon opinion est que lastpass est sans danger pour une utilisation Web normale, mais ne devrait pas être utilisé pour des cibles de grande valeur que des attaquants qualifiés pourraient être.