LastPassはどのようにパスワードをWebサイトに保存しますか?
LastPassは、パスワードを転送してWebサイトに保存する前に、パスワードをローカルで暗号化することを宣伝します。ただし、過去のパスワードでログインすると、すべてのパスワードにクリアテキストでアクセスできます。これは、すべてのパスワードへのアクセス権も持っていることを意味していませんか?パスワードにアクセスできないことを確認するにはどうすればよいですか?
すべての暗号化/復号化は、サーバー上ではなく、コンピューター上で行われます。つまり、あなたの機密データはインターネット上を移動せず、暗号化されたデータのみが私たちのサーバーに触れることはありません。
[...]
暗号化キーは、メールアドレスとマスターパスワードから作成されます。マスターパスワードはLastPassに送信されることはありません。認証時のパスワードの一方向ハッシュのみです。つまり、キーを構成するコンポーネントはローカルのままです。このため、LastPassマスターパスワードを覚えておくことが非常に重要です。暗号化されたデータは意味がありません。 LastPassには、保護のレイヤーを追加できる高度なセキュリティオプションもあります。
ソース: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
つまり、コンピューターはメールとマスターパスワードを使用してパスワードを暗号化し、そのデータをLastpassに送信します。 Lastpass.comでマスターパスワードで認証すると、Lastpass.comはすべての暗号化されたパスワードを返します。暗号化されたパスワードは、コンピューターでメールとマスターパスワードを使用してlocallyで復号化されます。すべての通信はSSLを介して行われるため、インターセプトされたものは何も役に立たない(すべてがSSLキーだけでなく、電子メールとマスターパスワードで暗号化されるため)。
これを確実にする最良の方法は、ネットワークアクティビティを監視し、復号化されたもの(マスターパスワードを含む)がlastpass.comに送られるかどうかを確認するスクリプトを設定することです。私がフォーラムで見たことに基づいて、他のユーザーがこれを行って、疑わしいものは何も見つけなかったようです。
waiwaiが言ったこと を検証したところ、ハッシュのみがラストパスサーバーに送信され、暗号化されたパスワードのみが返されました。ローカルストレージに派生して保存されたキーのように見えます。
マスターパスワードを盗むには、誰かがアプリケーションの動作を変更するために、サーバーの脆弱性または侵害が必要になります(少なくともそうすべきです)。私の意見では、lastpassは通常のWebの使用には安全ですが、熟練した攻撃者が後にする可能性のある価値の高いターゲットには使用しないでください。