Bagaimana LastPass menyimpan kata sandi saya di situs web mereka?

LastPass mengiklankan bahwa mereka melakukan enkripsi kata sandi lokal sebelum ditransfer dan disimpan di situs web mereka. Namun, ketika saya login dengan kata sandi saya yang lalu, saya dapat mengakses semua kata sandi saya dalam teks yang jelas di sana. Bukankah ini menyiratkan bahwa mereka juga memiliki akses ke semua kata sandi saya? Bagaimana saya bisa memverifikasi bahwa mereka tidak memiliki akses ke kata sandi saya?

Semua enkripsi / dekripsi terjadi di komputer Anda, bukan di server kami. Ini berarti bahwa data sensitif Anda tidak melakukan perjalanan melalui Internet dan tidak pernah menyentuh server kami, hanya data terenkripsi yang melakukannya.

[...]

Kunci enkripsi Anda dibuat dari alamat email dan Kata Sandi Utama Anda. Kata Sandi Master Anda tidak pernah dikirim ke LastPass, hanya hash satu arah kata sandi Anda ketika mengautentikasi, yang berarti bahwa komponen yang menyusun kunci Anda tetap lokal. Inilah sebabnya mengapa sangat penting untuk mengingat Kata Sandi Master LastPass Anda; kami tidak mengetahuinya dan tanpa itu data terenkripsi Anda tidak ada artinya. LastPass juga menawarkan opsi keamanan tingkat lanjut yang memungkinkan Anda menambahkan lebih banyak lapisan perlindungan.

Sumber: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

Dengan kata lain, komputer Anda mengenkripsi kata sandi Anda dengan email dan kata sandi utama Anda dan mengirimkan data itu ke Lastpass. Saat Anda mengautentikasi dengan kata sandi utama di Lastpass.com, Lastpass.com mengembalikan semua kata sandi terenkripsi Anda, yang didekripsi secara lokal di komputer Anda dengan email dan kata sandi utama Anda. Setiap komunikasi terjadi melalui SSL, jadi apa pun yang disadap menjadi dua kali lipat tidak berguna (karena semuanya dienkripsi tidak hanya dengan kunci SSL tetapi dengan email dan kata sandi utama Anda).

Cara terbaik untuk memastikan ini adalah dengan membuat skrip untuk memonitor aktivitas jaringan dan melihat apakah ada yang didekripsi (termasuk kata sandi utama) masuk ke lastpass.com. Berdasarkan apa yang saya lihat di forum, tampaknya pengguna lain telah melakukan ini dan tidak menemukan yang mencurigakan.

Saya baru saja memverifikasi apa yang dikatakan waiwai , dan hanya hash yang dikirimkan ke server lastpass, dan hanya kata sandi terenkripsi yang dikembalikan. Sepertinya kunci berasal dan disimpan di penyimpanan lokal.

Untuk mencuri kata sandi utama Anda, kerentanan atau kompromi dari server akan (atau paling tidak seharusnya) diperlukan seseorang untuk memodifikasi cara aplikasi bertindak. Pendapat saya adalah bahwa lastpass aman untuk penggunaan web normal, tetapi tidak boleh digunakan untuk target bernilai tinggi yang mungkin dicari oleh penyerang terampil.