Se stai cercando di confrontare un servizio cloud come LastPass con un'applicazione locale come KeePass, allora sì, c'è un compromesso sulla sicurezza.
Con un'applicazione come KeePass, in cui hai il pieno controllo sull'archiviazione del tuo database delle password (presumendo che tu non stia montando su DropBox o qualcosa del genere), l'unica superficie di attacco di cui ti devi preoccupare è il tuo stesso sistema e i dispositivi su cui è memorizzato il tuo database di password. In generale, questi non sono probabilmente soggetti ad attacchi mirati (o, come i media preferiscono chiamarli, APT ). Se segui le best practice sulla sicurezza del tuo sistema (applica gli aggiornamenti software, usa l'antivirus, tieni un firewall e / o un router correttamente configurato tra te e Internet, ecc.), Il tuo database delle password è probabilmente al sicuro dalle minacce basate su Internet .
Si noti che non sto confrontando le minacce locali (che implicano l'accesso fisico) qui, perché questo è qualcosa che riguarda entrambe le opzioni in modo abbastanza equo - è necessario avere una copia locale del database delle password da qualche parte per usarlo, quindi essere ugualmente vulnerabili alle minacce fisiche indipendentemente dal fatto che si utilizzi una soluzione basata su cloud o locale. Questo non vuol dire che questi sistemi siano particolarmente deboli contro le minacce locali: proteggere il database con una password complessa e l'algoritmo di crittografia in gran parte lo mitiga, ma non è probabile che uno sia molto meglio dell'altro in tali scenari.
Nel caso di LastPass e altri gestori di password basati su cloud, le superfici di attacco e le minacce associate sono molto più grandi. I loro sistemi sono sempre attivi e sono obiettivi di alto profilo e di alto valore. Se qualcuno ha mai totalmente pwns LastPass, non si sa quale tipo di sistemi a cui potrebbe trovare accesso. Mentre sono sicuro che prendono molto seriamente la sicurezza del loro sito, sono probabilmente soggetti a altrettanti attacchi di qualsiasi altro servizio affidabile che è stato violato recentemente. Come si suol dire, non è una questione di se saranno hackerati - solo una questione di quando . Inoltre, ancora devi preoccuparti della sicurezza dei tuoi sistemi che si sincronizzano con LastPass.
LastPass o altre soluzioni basate su clould sono un compromesso di sicurezza per l'usabilità, rispetto alle opzioni gestite localmente come KeePass? Assolutamente. Ne vale la pena? Decidi tu.
EDIT: per chiarire il problema di cosa viene memorizzato sul server di LastPass ...
Non memorizzano solo i dati per l'hashing / salting della password principale sul loro server. Anche se questa è una importante , informazione chiave di cui preoccuparsi, la vera preoccupazione dovrebbe essere che abbiano bisogno di memorizzare tutto ciò che vuoi sincronizzato tra i tuoi dispositivi sui loro sistemi . Cioè, se qualcuno ha mai fatto l'hacking di LastPass e incrina la tua password principale dal loro database, sarà in grado di accedere a tutte le password e altri dettagli che hai sincronizzato tra i tuoi dispositivi senza mai dovendo effettivamente toccare il tuo propri dispositivi.
Con un database memorizzato localmente, come KeePass usa, non devi preoccuparti così tanto di tali attacchi. Questo non vuol dire che sarebbe impossibile per qualcuno penetrare nel tuo database KeePass su Internet. È molto meno probabile che cercheranno di farlo, ed è una molto minaccia più facile per te per mitigare te stesso. (Inoltre, se un utente malintenzionato su Internet può aprire il database KeePass e utilizzare lo stesso sistema per accedere alle cose per cui il database contiene le password, probabilmente si è già abbastanza occupati da non importare comunque).