LastPassはどのようにパスワードをWebサイトに保存しますか？

LastPassは、パスワードを転送してWebサイトに保存する前に、パスワードをローカルで暗号化することを宣伝します。ただし、過去のパスワードでログインすると、すべてのパスワードにクリアテキストでアクセスできます。これは、すべてのパスワードへのアクセス権も持っていることを意味していませんか？パスワードにアクセスできないことを確認するにはどうすればよいですか？

すべての暗号化/復号化は、サーバーではなくコンピューターで行われます。これは、機密データがインターネット上を移動することはなく、暗号化されたデータのみがサーバーにアクセスすることを意味します。

[...]

暗号化キーは、メールアドレスとマスターパスワードから作成されます。マスターパスワードはLastPassに送信されることはありません。認証時のパスワードの一方向ハッシュのみです。つまり、キーを構成するコンポーネントはローカルのままです。このため、LastPassマスターパスワードを覚えておくことが非常に重要です。暗号化されたデータは意味がありません。LastPassには、保護のレイヤーを追加できる高度なセキュリティオプションもあります。

ソース：http : //lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

つまり、コンピューターはメールとマスターパスワードでパスワードを暗号化し、そのデータをLastpassに送信します。Lastpass.comでマスターパスワードで認証すると、Lastpass.comはすべての暗号化されたパスワードを返します。暗号化されたパスワードは、コンピューターでローカルに復号化され、メールとマスターパスワードを使用します。すべての通信はSSLを介して行われるため、インターセプトされたものは何も役に立たない（SSLキーだけでなく、メールとマスターパスワードですべてが暗号化されるため）。

これを確実にする最善の方法は、ネットワークアクティビティを監視し、解読されたもの（マスターパスワードを含む）がlastpass.comに送られるかどうかを確認するスクリプトを設定することです。私がフォーラムで見たものに基づいて、他のユーザーがこれを行って疑わしいものは何も見つけなかったようです。

waiwaiが言ったことを確認したところ、ハッシュだけがlastpassサーバーに送信され、暗号化されたパスワードのみが返されました。ローカルストレージに派生して保存されたキーのように見えます。

マスターパスワードを盗むには、誰かがアプリケーションの動作を変更するために、サーバーの脆弱性または侵害が必要になります（少なくともそうすべきです）。私の意見では、lastpassは通常のWebの使用には安全ですが、熟練した攻撃者が後にする可能性のある価値の高いターゲットには使用しないでください。