LastPass如何将我的密码存储在他们的网站上?


15

LastPass宣传他们在对密码进行本地加密之前将其传输并存储在其网站上。但是,当我使用过去的密码登录时,可以在那里以明文形式访问所有密码。这是否意味着他们也可以访问我的所有密码?如何验证他们没有访问我的密码的权限?



1
史蒂夫·吉布森(Steve Gibson)说,事情在不断发展。对我来说足够了。blog.lastpass.com/2010/07/…–
ale

Answers:


18

所有加密/解密都在您的计算机上进行,而不是在我们的服务器上进行。这意味着您的敏感数据不会通过Internet传输,并且永远不会接触我们的服务器,只有加密的数据才能访问。

[...]

您的加密密钥是通过您的电子邮件地址和主密码创建的。您的主密码永远不会发送到LastPass,在身份验证时仅发送密码的单向哈希值,这意味着构成密钥的组件仍保留在本地。这就是为什么记住您的LastPass主密码非常重要的原因。我们不知道,没有它,您的加密数据就毫无意义。LastPass还提供了高级安全选项,可让您添加更多保护层。

来源:http : //lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

换句话说,您的计算机使用电子邮件和主密码对密码进行加密,然后将数据发送到Lastpass。当您在Lastpass.com上使用主密码进行身份验证时,Lastpass.com将返回所有加密的密码,这些密码将在您的计算机上使用电子邮件和主密码在本地进行解密。每次通信都是通过SSL进行的,因此任何被拦截的东西都是双重无用的(因为不仅使用SSL密钥,而且使用您的电子邮件和主密码对所有内容进行加密)。

确保这一点的最佳方法是设置一个脚本来监视网络活动,并查看是否解密的任何内容(包括主密码)都进入了lastpass.com。根据我在论坛上看到的内容,似乎其他用户也这样做了,但没有发现可疑之处。


我怎么能在Safari中登录lastpass.com(没有Lastpass firefox插件),然后看到我的所有密码?
chovy

1
@chovy您可以在浏览器中看到它们-与在服务器上看到它们不同。是的,原始数据来自服务器,但是在显示给您之前,它们会使用计算机本地数据解密。
2013年

1
但是,密码如何在本地存储在计算机上?以明文形式?
Meekohi,2015年

2

我只验证了waiwai所说的内容,并且仅将哈希发送到lastpass服务器,并且仅返回加密的密码。它看起来像一个派生并存储在本地存储中的密钥。

要窃取您的主密码,有人(至少应该)需要服务器的漏洞或威胁,以便有人修改应用程序的行为。我的意见是,lastpass对于正常的Web使用是安全的,但不应用于熟练的攻击者可能追求的高价值目标。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.