LastPass如何将我的密码存储在他们的网站上？

LastPass宣传他们在对密码进行本地加密之前将其传输并存储在其网站上。但是，当我使用过去的密码登录时，可以在那里以明文形式访问所有密码。这是否意味着他们也可以访问我的所有密码？如何验证他们没有访问我的密码的权限？

所有加密/解密都在您的计算机上进行，而不是在我们的服务器上进行。这意味着您的敏感数据不会通过Internet传输，并且永远不会接触我们的服务器，只有加密的数据才能访问。

[...]

您的加密密钥是通过您的电子邮件地址和主密码创建的。您的主密码永远不会发送到LastPass，在身份验证时仅发送密码的单向哈希值，这意味着构成密钥的组件仍保留在本地。这就是为什么记住您的LastPass主密码非常重要的原因。我们不知道，没有它，您的加密数据就毫无意义。LastPass还提供了高级安全选项，可让您添加更多保护层。

来源：http : //lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

换句话说，您的计算机使用电子邮件和主密码对密码进行加密，然后将数据发送到Lastpass。当您在Lastpass.com上使用主密码进行身份验证时，Lastpass.com将返回所有加密的密码，这些密码将在您的计算机上使用电子邮件和主密码在本地进行解密。每次通信都是通过SSL进行的，因此任何被拦截的东西都是双重无用的（因为不仅使用SSL密钥，而且使用您的电子邮件和主密码对所有内容进行加密）。

确保这一点的最佳方法是设置一个脚本来监视网络活动，并查看是否解密的任何内容（包括主密码）都进入了lastpass.com。根据我在论坛上看到的内容，似乎其他用户也这样做了，但没有发现可疑之处。

我只验证了waiwai所说的内容，并且仅将哈希发送到lastpass服务器，并且仅返回加密的密码。它看起来像一个派生并存储在本地存储中的密钥。

要窃取您的主密码，有人（至少应该）需要服务器的漏洞或威胁，以便有人修改应用程序的行为。我的意见是，lastpass对于正常的Web使用是安全的，但不应用于熟练的攻击者可能追求的高价值目标。