LastPass는 암호를 웹 사이트로 전송 및 저장하기 전에 암호의 로컬 암호화를 수행한다고 광고합니다. 그러나 이전 비밀번호로 로그인하면 모든 비밀번호에 일반 텍스트로 액세스 할 수 있습니다. 이것이 내 비밀번호에도 액세스 할 수 있음을 의미하지 않습니까? 비밀번호에 액세스 할 수 없는지 어떻게 확인할 수 있습니까?
답변
모든 암호화 / 복호화는 서버가 아닌 컴퓨터에서 발생합니다. 즉, 중요한 데이터는 인터넷을 통해 이동하지 않으며 서버에 절대로 닿지 않으며 암호화 된 데이터 만 처리합니다.
[…]
암호화 키는 이메일 주소와 마스터 비밀번호로 생성됩니다. 마스터 비밀번호는 LastPass로 전송되지 않으며 인증시 비밀번호의 단방향 해시만으로 키를 구성하는 구성 요소가 로컬로 유지됩니다. 이것이 LastPass 마스터 비밀번호를 기억하는 것이 매우 중요한 이유입니다. 우리는 그것을 알지 못하며 암호화 된 데이터가 없으면 의미가 없습니다. LastPass는 또한 더 많은 보호 계층을 추가 할 수있는 고급 보안 옵션을 제공합니다.
출처 : http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
다시 말해, 컴퓨터는 이메일 및 마스터 비밀번호로 비밀번호를 암호화하고 해당 데이터를 Lastpass로 보냅니다. Lastpass.com에서 마스터 암호로 인증하면 Lastpass.com은 암호화 된 모든 암호를 반환 합니다.이 암호는 전자 메일 및 마스터 암호로 컴퓨터 에서 로컬로 해독 됩니다 . 모든 통신은 SSL을 통해 이루어 지므로 인터셉트 된 것은 이중 쓸모가 없습니다 (모든 것이 SSL 키뿐만 아니라 이메일 및 마스터 비밀번호로 암호화되기 때문에).
이를 확인하는 가장 좋은 방법은 네트워크 활동을 모니터링하고 암호가 해독 된 항목 (마스터 암호 포함)이 lastpass.com으로 이동하는지 확인하는 스크립트를 설정하는 것입니다. 내가 포럼에서 본 내용을 바탕으로 다른 사용자 가이 작업을 수행했으며 의심스러운 것은 없습니다.
답변
방금 waiwai가 말한 것을 확인 했으며 해시 만 최종 패스 서버로 전송되었으며 암호화 된 암호 만 반환되었습니다. 로컬 스토리지에 파생되어 저장된 키처럼 보입니다.
마스터 암호를 훔치려면 누군가가 응용 프로그램의 동작 방식을 수정하기 위해 서버의 취약성 또는 손상이 필요합니다. 제 생각에는 lastpass는 일반적인 웹 사용에는 안전하지만 숙련 된 공격자가 뒤따를 수있는 고가의 대상에는 사용해서는 안됩니다.