Semua enkripsi / dekripsi terjadi di komputer Anda, bukan di server kami. Ini berarti bahwa data sensitif Anda tidak melakukan perjalanan melalui Internet dan tidak pernah menyentuh server kami, hanya data terenkripsi yang melakukannya.
[...]
Kunci enkripsi Anda dibuat dari alamat email dan Kata Sandi Utama Anda. Kata Sandi Master Anda tidak pernah dikirim ke LastPass, hanya hash satu arah kata sandi Anda ketika mengautentikasi, yang berarti bahwa komponen yang menyusun kunci Anda tetap lokal. Inilah sebabnya mengapa sangat penting untuk mengingat Kata Sandi Master LastPass Anda; kami tidak mengetahuinya dan tanpa itu data terenkripsi Anda tidak ada artinya. LastPass juga menawarkan opsi keamanan tingkat lanjut yang memungkinkan Anda menambahkan lebih banyak lapisan perlindungan.
Sumber: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
Dengan kata lain, komputer Anda mengenkripsi kata sandi Anda dengan email dan kata sandi utama Anda dan mengirimkan data itu ke Lastpass. Saat Anda mengautentikasi dengan kata sandi utama di Lastpass.com, Lastpass.com mengembalikan semua kata sandi terenkripsi Anda, yang didekripsi secara lokal di komputer Anda dengan email dan kata sandi utama Anda. Setiap komunikasi terjadi melalui SSL, jadi apa pun yang disadap menjadi dua kali lipat tidak berguna (karena semuanya dienkripsi tidak hanya dengan kunci SSL tetapi dengan email dan kata sandi utama Anda).
Cara terbaik untuk memastikan ini adalah dengan membuat skrip untuk memonitor aktivitas jaringan dan melihat apakah ada yang didekripsi (termasuk kata sandi utama) masuk ke lastpass.com. Berdasarkan apa yang saya lihat di forum, tampaknya pengguna lain telah melakukan ini dan tidak menemukan yang mencurigakan.