I 2 sono diversi.
Il gestore delle password incluso nel browser di solito memorizza la password sul file system e li protegge utilizzando l'account del sistema operativo. Ad esempio, su Windows, se si desidera visualizzare le password salvate è necessario inserire le credenziali di Windows.
Lastpass memorizza le tue password sul loro server e le crittografa utilizzando la password principale associata al tuo account lastpass.
Diamo un'occhiata ai problemi di ciascun
Gestione password browser : presuppone che l'account del tuo sistema operativo sia sicuro. Se qualcun altro conosce la password dell'account del sistema operativo, può rubare tutta la password nel tuo manager. In chrome, ad esempio, sembra che la tua password sia semplicemente in chiaro sul tuo file system. Quindi, se lasci la sessione aperta e lasci il computer, chiunque può rubarti la password. Un amministratore del sistema operativo può probabilmente farlo anche ...
Ma con Firefox, hai la possibilità di selezionare una password principale per crittografare / decodificare la tua password. Se selezioni questa opzione, le tue password dovrebbero essere sicure anche se qualcun altro accede al tuo computer.
Lastpass : presuppone che tu sia l'unico a conoscere la tua password principale, il che è probabilmente vero. D'altra parte, se qualcuno è in grado di trovare la tua password principale (magari hackerando lastpass), allora avranno accesso a tutte le tue password.
Direi che entrambe le opzioni sono abbastanza buone: firefox con password principale e lastpass.
Informazioni sull'uso di javascript per codificare la tua password.
Direi che è principalmente un trucco di LastPass per farti sentire più sicuro, ma non è un problema in realtà. Una citazione da loro:
All sensitive data is encrypted and decrypted locally before syncing
with LastPass. Your key never leaves your device, and is never shared
with LastPass. Your data stays accessible only to you.
Affermano che è più sicuro perché lastpass non può nemmeno conoscere la tua password principale poiché non la riceverà mai. Ma in realtà, dal momento che controllano il javascript, fa una grande differenza se criptano / decodificano localmente o sul loro server? In generale no. Potrebbero rimuovere il javascript ogni volta che vogliono ricevere direttamente la master password, se lo desiderano.
Ma torniamo al javascript ... Quando la loro pagina è sicura, un utente malintenzionato non può modificare javascript. Se la sua pagina non era sicura, un utente malintenzionato potrebbe semplicemente registrare tutto ciò che viene digitato e rubare comunque la password principale. L'uso di javascript per crittografare / decifrare è irrilevante qui, devi solo chiederti se la loro pagina è sicura o meno e probabilmente lo è.
Ma affermano che sono stati salvati dall'attacco heartbleed.
However, LastPass is unique in that your data is also encrypted with a
key that LastPass servers don’t have access to. Your sensitive data is
never transmitted over SSL unencrypted - it’s already encrypted when
it is transmitted, with a key LastPass never receives. While this bug
is still very serious, it could not expose LastPass customers’
encrypted data due to our extra layers of protection. On the majority
of the web, user data is not encrypted before being transmitted over
SSL, hence the widespread concern.
Source