Bagaimana LastPass menyimpan kata sandi saya di situs web mereka?

15

LastPass mengiklankan bahwa mereka melakukan enkripsi kata sandi lokal sebelum ditransfer dan disimpan di situs web mereka. Namun, ketika saya login dengan kata sandi saya yang lalu, saya dapat mengakses semua kata sandi saya dalam teks yang jelas di sana. Bukankah ini menyiratkan bahwa mereka juga memiliki akses ke semua kata sandi saya? Bagaimana saya bisa memverifikasi bahwa mereka tidak memiliki akses ke kata sandi saya?

dzhelil
sumber
1
Steve Gibson mengatakan ini naik dan naik. Itu cukup baik untukku. blog.lastpass.com/2010/07/...
ale

Jawaban:

18

Semua enkripsi / dekripsi terjadi di komputer Anda, bukan di server kami. Ini berarti bahwa data sensitif Anda tidak melakukan perjalanan melalui Internet dan tidak pernah menyentuh server kami, hanya data terenkripsi yang melakukannya.

[...]

Kunci enkripsi Anda dibuat dari alamat email dan Kata Sandi Utama Anda. Kata Sandi Master Anda tidak pernah dikirim ke LastPass, hanya hash satu arah kata sandi Anda ketika mengautentikasi, yang berarti bahwa komponen yang menyusun kunci Anda tetap lokal. Inilah sebabnya mengapa sangat penting untuk mengingat Kata Sandi Master LastPass Anda; kami tidak mengetahuinya dan tanpa itu data terenkripsi Anda tidak ada artinya. LastPass juga menawarkan opsi keamanan tingkat lanjut yang memungkinkan Anda menambahkan lebih banyak lapisan perlindungan.

Sumber: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Dengan kata lain, komputer Anda mengenkripsi kata sandi Anda dengan email dan kata sandi utama Anda dan mengirimkan data itu ke Lastpass. Saat Anda mengautentikasi dengan kata sandi utama di Lastpass.com, Lastpass.com mengembalikan semua kata sandi terenkripsi Anda, yang didekripsi secara lokal di komputer Anda dengan email dan kata sandi utama Anda. Setiap komunikasi terjadi melalui SSL, jadi apa pun yang disadap menjadi dua kali lipat tidak berguna (karena semuanya dienkripsi tidak hanya dengan kunci SSL tetapi dengan email dan kata sandi utama Anda).

Cara terbaik untuk memastikan ini adalah dengan membuat skrip untuk memonitor aktivitas jaringan dan melihat apakah ada yang didekripsi (termasuk kata sandi utama) masuk ke lastpass.com. Berdasarkan apa yang saya lihat di forum, tampaknya pengguna lain telah melakukan ini dan tidak menemukan yang mencurigakan.

waiwai933
sumber
Kenapa saya bisa masuk ke lastpass.com di Safari (tanpa plugin firefox Lastpass) dan melihat semua kata sandi saya?
chovy
1
@chovy Anda melihatnya di peramban - yang berbeda dengan melihatnya di server. Ya, data mentah berasal dari server, tetapi didekripsi menggunakan data lokal ke komputer Anda sebelum ditampilkan kepada Anda.
Tom
1
Bagaimana kata sandi disimpan secara lokal di mesin? Dalam plaintext?
Meekohi
2

Saya baru saja memverifikasi apa yang dikatakan waiwai , dan hanya hash yang dikirimkan ke server lastpass, dan hanya kata sandi terenkripsi yang dikembalikan. Sepertinya kunci berasal dan disimpan di penyimpanan lokal.

Untuk mencuri kata sandi utama Anda, kerentanan atau kompromi dari server akan (atau paling tidak seharusnya) diperlukan seseorang untuk memodifikasi cara aplikasi bertindak. Pendapat saya adalah bahwa lastpass aman untuk penggunaan web normal, tetapi tidak boleh digunakan untuk target bernilai tinggi yang mungkin dicari oleh penyerang terampil.

Alex Lauerman
sumber