In che modo LastPass decodifica le password?

Naviga le tue risposte
2

Sono uno sviluppatore web, non un esperto di sicurezza, ma conosco un po 'la sicurezza perché ne ho bisogno come sviluppatore web.

Secondo LastPass,

LastPass encrypts your Vault before it goes to the server using 256-bit AES encryption. Since the Vault is already encrypted before it leaves your computer and reaches the LastPass server, not even LastPass employees can see your sensitive data!

Come ho capito, significa semplicemente che i dipendenti di LastPass non possono vedere la password usando alcun metodo. Quindi, come possiamo trovare le nostre password che vengono salvate sui loro server (password crittografata)? Voglio dire se il loro programma può mostrare le password per noi, perché i dipendenti non possono utilizzare lo stesso metodo per decrittografare le nostre password che sono memorizzate nei loro server?

O fraintendiamo un punto?

    
posta I am the Most Stupid Person 30.11.2017 - 11:35
fonte

1 risposta

6

La decrittografia avviene sul tuo dispositivo, usando la password che inserisci all'avvio del programma o una versione memorizzata di questo, se hai selezionato "ricordami" o stai usando l'autenticazione biometrica. La password non viene inviata ai loro server, quindi i dipendenti non possono accedervi.

Più in dettaglio: la password principale viene utilizzata per generare una chiave di crittografia, che viene quindi utilizzata sul dispositivo client per crittografare le password. Quando si accede a un nuovo dispositivo, la password inserita viene utilizzata per generare la stessa chiave di crittografia, che, poiché viene utilizzata la crittografia simmetrica, consente anche la decrittografia. Ciò significa che la password principale è la chiave per tutti gli altri dati memorizzati.

Se si modifica la password principale, il codice lato client ricodifica tutte le password con la nuova chiave generata da questo. Questo può richiedere un po 'di tempo se hai un sacco di password memorizzate.

    
risposta data 30.11.2017 - 11:39
fonte

Leggi altre domande sui tag

È sicuro fornire a terzi un server VPN a casa? È possibile sfruttare Meltdown / Spectre da C # /. Net (o altri linguaggi gestiti o il sistema operativo Midori)?