Il sito Web di LastPass richiede la Master Password durante la creazione dell'account

2

Quando volevo provare LastPass oggi, sono rimasto sbalordito che modulo della pagina web per la creazione dell'account su LastPass ha effettivamente richiesto la" Master Password ", che è la stessa" Master Password "che viene utilizzata quando si effettua il login localmente ad es. un PC.

LastPass How It Works dice:

Local-Only Decryption

All sensitive data is encrypted and decrypted locally before syncing with LastPass. Your key never leaves your device, and is never shared with LastPass. Your data stays accessible only to you.

Ma quando ho creato la "Master Password" all'inizio della creazione dell'account, mi sembra che le chiavi siano effettivamente condivise con LastPass, quindi LastPass ha la password necessaria per decrittografare le mie password.

La parte rilevante del modulo HTML è mostrata in questa immagine:

InbaseallamiacomprensionedeimoduliHTML,invieròla"Master Password" a LastPass quando viene inviato il modulo.

Qualcuno può spiegare se ho torto su questo?

    
posta EquipDev 16.12.2015 - 15:18
fonte

1 risposta

7

Ho dato un'occhiata alla loro pagina e sembrerebbe che la password sia stata cancellata prima di essere inviata ai loro server. Lo fanno con JavaScript / jQuery:

// all validation tests passed - create account
$(createaccountbtn).addClass("btn_disabled");
g_username = username.value = username.value.toLowerCase().replace(/\s*/g, "");
g_fixpbkdf2 = 1;
g_local_key = make_lp_key_iterations( username.value, mpw.value, iterations.value );
document.getElementById("hash").value = make_lp_hash_iterations( g_local_key, mpw.value, iterations.value );
mpw.value=document.getElementById("reenterpassword").value="********";

if(typeof(saveKey)!="undefined") saveKey(); 

var postData = $( lpform ).serializeArray();
var url = $( lpform ).attr("action");

Quindi, se vuoi dei semplici test finali: guarda i pacchetti inviati con uno sniffer & vedrai solo un hash inviato o disabiliti JavaScript nel tuo browser e l'invio del modulo dovrebbe fallire.

È fondamentale esaminare il JavaScript incluso di una pagina quando si considera l'invio di moduli, poiché è l'unico modo per eseguire l'hash o crittografare i valori sul lato client.

    
risposta data 16.12.2015 - 16:55
fonte

Leggi altre domande sui tag