Wie speichert LastPass meine Passwörter auf seiner Website?

LastPass gibt an, dass Passwörter lokal verschlüsselt werden, bevor sie übertragen und auf ihrer Website gespeichert werden. Wenn ich mich jedoch mit meinem bisherigen Passwort anmelde, kann ich dort im Klartext auf alle meine Passwörter zugreifen. Bedeutet das nicht, dass sie auch Zugriff auf alle meine Passwörter haben? Wie kann ich sicherstellen, dass sie keinen Zugriff auf meine Passwörter haben?

Die gesamte Ver- / Entschlüsselung erfolgt auf Ihrem Computer, nicht auf unseren Servern. Dies bedeutet, dass Ihre sensiblen Daten nicht über das Internet übertragen werden und niemals unsere Server berühren, sondern nur die verschlüsselten Daten.

[...]

Ihr Verschlüsselungsschlüssel wird aus Ihrer E-Mail-Adresse und Ihrem Hauptkennwort erstellt. Ihr Hauptkennwort wird niemals an LastPass gesendet, sondern nur ein One-Way-Hash Ihres Kennworts bei der Authentifizierung. Dies bedeutet, dass die Komponenten, aus denen Ihr Schlüssel besteht, lokal bleiben. Aus diesem Grund ist es sehr wichtig, dass Sie sich Ihr LastPass-Master-Passwort merken. wir wissen es nicht und ohne es sind Ihre verschlüsselten Daten bedeutungslos. LastPass bietet außerdem erweiterte Sicherheitsoptionen, mit denen Sie weitere Schutzebenen hinzufügen können.

Quelle: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Mit anderen Worten, Ihr Computer verschlüsselt Ihre Passwörter mit Ihrer E-Mail und Ihrem Master-Passwort und sendet diese Daten an Lastpass. Wenn Sie sich mit Ihrem Hauptkennwort bei Lastpass.com authentifizieren, gibt Lastpass.com alle Ihre verschlüsselten Kennwörter zurück, die lokal auf Ihrem Computer mit Ihrer E-Mail- Adresse und Ihrem Hauptkennwort entschlüsselt werden . Jede Kommunikation erfolgt über SSL, sodass alles, was abgefangen wird, doppelt nutzlos ist (da alles nicht nur mit den SSL-Schlüsseln, sondern auch mit Ihrer E-Mail-Adresse und Ihrem Master-Passwort verschlüsselt wird).

Um dies sicherzustellen, richten Sie am besten ein Skript ein, mit dem Sie die Netzwerkaktivität überwachen und feststellen können, ob entschlüsselte Daten (einschließlich des Hauptkennworts) an lastpass.com gesendet werden. Basierend auf dem, was ich in Foren gesehen habe, scheint es, dass andere Benutzer dies getan haben und nichts Verdächtiges gefunden haben.

Ich habe gerade überprüft, was waiwai gesagt hat , und nur ein Hash wurde an den Lastpass-Server übertragen, und es wurden nur verschlüsselte Passwörter zurückgegeben. Es sieht aus wie ein Schlüssel, der abgeleitet und im lokalen Speicher gespeichert wird.

Um Ihr Master-Passwort zu stehlen, müsste (oder sollte) jemand eine Sicherheitslücke oder einen Kompromiss des Servers eingehen, um das Verhalten der Anwendung zu ändern. Meiner Meinung nach ist Lastpass für die normale Nutzung des Webs sicher, sollte aber nicht für hochwertige Ziele verwendet werden, nach denen erfahrene Angreifer streben.