Come posso essere sicuro che Lastpass non sia davvero in grado di accedere alle mie password?

C'è un modo per vedere se LastPass sta facendo quello che stanno dicendo.

Utilizza l'estensione non binario di Chrome, Firefox, Opera o Safari. Questo è 100% JavaScript e aperto nel senso che puoi vederlo - puoi usare lo sniffing di rete con un proxy (es. Paros) per vedere che i dati sensibili sono crittografati con AES-256-CBC da dati generati da una chiave creata con il numero di round di PBKDF2-SHA256 hai impostato sul tuo account: link e questo è fatto localmente solo sulla tua macchina.

Quindi semplicemente non aggiornare / aggiornare la tua estensione fino a quando non vuoi controllarla di nuovo. Puoi anche controllare il modo in cui interagiamo con l'estensione binaria per decidere se ti fidi di questo.

Questo è un po 'estremo per la maggior parte delle persone, ma un certo numero di persone e organizzazioni hanno verificato LastPass e apprezzato ciò che hanno trovato. LastPass è sempre utile per chiunque desideri sottoporre a verifica, sentiti libero di contattarci se desideri assistenza.

LastPass sa che è perfettamente ragionevole fidarsi ma verificare e incoraggiarlo a farlo. C'è un motivo per cui diciamo alle persone di utilizzare le estensioni piuttosto che il sito web: le estensioni non possono cambiare facilmente come il sito Web potrebbe quindi renderle più sicure.

Fonte: lavoro per LastPass.

Alcune di queste risposte sono piuttosto datate, ma l'argomento è abbastanza importante da ritenerlo meritevole di essere rivisto.

L'asserzione LastPass è che offrono un'implementazione a prova di conoscenza zero - cioè la crittografia avviene sul lato client (con la password come chiave) e che, presumibilmente, non possono decifrare i dati anche se lo volessero. Se ricevono un mandato o un'ingiunzione del tribunale, saranno obbligati per legge a consegnare i dati, ma rimarranno comunque in forma crittografata, quindi spetterà ai supercomputer dei rispettivi investigatori (o alla modesta matrice GPU) crack quello. A questo proposito non è fondamentalmente diverso da memorizzare un DB KeePass in DropBox (che ho visto più volte che mi interessa menzionare)

Detto questo ....

LP ha recentemente rilasciato la fonte per il suo client CLI: link

Ora tocca a noi fare la revisione del codice, in modo da convalidare le loro attestazioni fino a quanto consegnato.

Soprattutto interrogando la fonte per vedere come viene generato, codificato e generato il DB crittografato, se soddisfa i migliori standard e amp; pratiche (o migliori), estirpare bug (o "backdoor non intenzionali"), e se il prodotto della generazione corrisponde a quello generato dalle implementazioni black-box chiuse - processo di pensiero analogo coinvolto nella compilazione del codice da source & confrontando il checksum con quello generato contro il binario.

Una recensione e un codice indipendente il pen-test di un'organizzazione rispettabile è ciò che è necessario IMHO, e quindi lo pone ben oltre il mio stesso set di competenze.

Questo non è un tentativo di rubare o altrimenti decodificare la loro salsa segreta UX, dove (giustamente) aggiungono valore e amp; ricavare entrate da - Sono felice di buttare soldi e amp; i clienti a modo loro per questo, dal momento che rendere più semplice la sicurezza rende la mia vita più sicura e più efficace; più facile - ma piuttosto un modo per la comunità della sicurezza di alzare il livello del bar & assicurati che coloro che si attengono al principio di Kerckhoff siano ricompensati per il loro impegno.

L'unico modo per verificarlo è di guardare il codice che ti manda ogni volta che accedi alle tue password. In altre parole, non puoi. Tuttavia, se hanno mai mandato un codice dannoso a qualcuno, c'è il rischio che la persona se ne accorga, e tutto ciò che sarebbe necessario è che una persona presenti il codice dannoso e tutti lo sappiano.

Anche se ti fidi di un'azienda, non puoi fidarti completamente del prodotto / servizio che forniscono. Una vulnerabilità in esso può essere scoperta / sfruttata o la società stessa può essere compromessa. Ogni volta che rendi le tue password potenzialmente accessibili a una festa, considerale conosciuta da quella parte. Nel caso della normale procedura di registrazione / login di un sito web, hai a che fare con persone che non valutano la tua password in quanto non ne hanno bisogno. Non appena è coinvolta una terza parte, questa garanzia è ora fuori dalla finestra.

Se è necessario, utilizzare una password locale sicura come KeePass2 e archiviare su supporti rimovibili che si controllano.

Inoltre, se un'azienda utilizza una frase come "sicurezza completa", sappi che stanno già cercando di ingannarti .