LastPass lưu mật khẩu của tôi trên trang web của họ như thế nào?

15

LastPass quảng cáo rằng họ thực hiện mã hóa mật khẩu cục bộ trước khi chúng được chuyển và lưu trữ trên trang web của họ. Tuy nhiên, khi tôi đăng nhập bằng mật khẩu trước đây, tôi có thể truy cập tất cả mật khẩu của mình bằng văn bản rõ ràng ở đó. Điều này không có nghĩa là họ cũng có quyền truy cập vào tất cả mật khẩu của tôi phải không? Làm cách nào tôi có thể xác minh rằng họ không có quyền truy cập vào mật khẩu của tôi?

encryption  passwords  lastpass 
dzhelil
nguồn
9
Sathyajith Bhat
1
Steve Gibson nói rằng đó là sự phát triển. Nó đủ tốt cho tôi. blog.lastpass.com/2010/07/ Lời
ale

Câu trả lời:

18

Tất cả mã hóa / giải mã xảy ra trên máy tính của bạn, không phải trên máy chủ của chúng tôi. Điều này có nghĩa là dữ liệu nhạy cảm của bạn không truyền qua Internet và nó không bao giờ chạm vào máy chủ của chúng tôi, chỉ có dữ liệu được mã hóa.

[...]

Khóa mã hóa của bạn được tạo từ địa chỉ email và Mật khẩu chủ. Mật khẩu chủ của bạn không bao giờ được gửi đến LastPass, chỉ một hàm băm mật khẩu một chiều khi xác thực, điều đó có nghĩa là các thành phần tạo nên khóa của bạn vẫn là cục bộ. Đây là lý do tại sao việc nhớ mật khẩu LastPass Master của bạn là rất quan trọng; chúng tôi không biết điều đó và không có nó, dữ liệu được mã hóa của bạn là vô nghĩa. LastPass cũng cung cấp các tùy chọn bảo mật nâng cao cho phép bạn thêm nhiều lớp bảo vệ.

Nguồn: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Nói cách khác, máy tính của bạn mã hóa mật khẩu của bạn bằng email và mật khẩu chính và gửi dữ liệu đó đến Lastpass. Khi bạn xác thực bằng mật khẩu chính của mình tại Lastpass.com, Lastpass.com sẽ trả về tất cả mật khẩu được mã hóa của bạn, được giải mã cục bộ trên máy tính của bạn bằng email và mật khẩu chính. Mọi giao tiếp đều xảy ra qua SSL, do đó, mọi thứ bị chặn đều vô dụng (vì mọi thứ được mã hóa không chỉ bằng các khóa SSL mà còn với email và mật khẩu chính của bạn).

Cách tốt nhất để đảm bảo điều này là thiết lập một tập lệnh để giám sát hoạt động của mạng và xem liệu có bất cứ điều gì được giải mã (bao gồm cả mật khẩu chính) đi đến lastpass.com không. Dựa trên những gì tôi đã thấy trên các diễn đàn, có vẻ như những người dùng khác đã làm điều này và không thấy có gì đáng ngờ.

waiwai933
nguồn
Tại sao tôi có thể đăng nhập vào Lastpass.com trong Safari (w / o Lastpass firefox plugin) và xem tất cả mật khẩu của mình sau đó?
chovy
1
@chovy Bạn thấy chúng trong trình duyệt của bạn - đó là khác nhau sau đó nhìn thấy chúng trên máy chủ. Có, dữ liệu thô đến từ máy chủ, nhưng nó được giải mã bằng cách sử dụng dữ liệu cục bộ vào máy tính của bạn trước khi nó được hiển thị cho bạn.
Tom
1
Làm thế nào là mật khẩu được lưu trữ cục bộ trên máy mặc dù? Trong bản rõ?
Meekohi
2

Tôi vừa xác minh những gì waiwai nói , và chỉ một hàm băm được truyền đến máy chủ cuối cùng và chỉ có mật khẩu được mã hóa được trả về. Nó trông giống như một khóa có nguồn gốc và được lưu trữ trong bộ nhớ cục bộ.

Để đánh cắp mật khẩu chủ của bạn, một lỗ hổng hoặc sự thỏa hiệp của máy chủ sẽ (hoặc ít nhất là nên) cần thiết cho ai đó để sửa đổi cách ứng dụng ứng xử. Ý kiến ​​của tôi là Lastpass an toàn cho việc sử dụng web thông thường, nhưng không nên được sử dụng cho các mục tiêu có giá trị cao mà những kẻ tấn công lành nghề có thể theo đuổi.

Alex Lauerman
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.