El sitio web de LastPass solicita una contraseña maestra al crear la cuenta

Question

El sitio web de LastPass solicita una contraseña maestra al crear la cuenta

#1 de JennaKO (7 votos)

2

Cuando quise probar LastPass hoy, me sorprendió que formulario de página web para crear la cuenta en LastPass en realidad solicitó la" Contraseña maestra ", que es la misma" Contraseña maestra "que se usa al iniciar sesión localmente, por ejemplo, una PC.

En LastPass Cómo funciona dice:

Descifrado sólo local

Todos los datos confidenciales se cifran y descifran localmente antes de sincronizarse con LastPass. Su clave nunca abandona su dispositivo y nunca se comparte con LastPass. Sus datos permanecen accesibles solo para usted.

Pero cuando proporcioné la "Contraseña maestra" al crear la cuenta, me parece que las claves realmente se comparten con LastPass, por lo que LastPass tiene la contraseña necesaria para descifrar mis contraseñas.

La parte relevante del formulario HTML se muestra en esta imagen:

YsegúnmiconocimientodelosformulariosHTML,enviarála"Contraseña maestra" a LastPass cuando se envíe el formulario.

¿Alguien puede explicar si me equivoco al respecto?

passwords password-management

pregunta EquipDev 16.12.2015 - 15:18

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords password-management

Extrañas solicitudes a mi servidor ¿Cómo descifrar un mensaje usando solo la clave de sesión?

score 7 · Accepted Answer

Eché un vistazo a su página y parece que la contraseña está oculta antes de enviarla a sus servidores. Lo hacen con JavaScript / jQuery:

// all validation tests passed - create account
$(createaccountbtn).addClass("btn_disabled");
g_username = username.value = username.value.toLowerCase().replace(/\s*/g, "");
g_fixpbkdf2 = 1;
g_local_key = make_lp_key_iterations( username.value, mpw.value, iterations.value );
document.getElementById("hash").value = make_lp_hash_iterations( g_local_key, mpw.value, iterations.value );
mpw.value=document.getElementById("reenterpassword").value="********";

if(typeof(saveKey)!="undefined") saveKey(); 

var postData = $( lpform ).serializeArray();
var url = $( lpform ).attr("action");

Entonces, si quieres algunas pruebas finales simples: o mira los paquetes enviados con un sniffer de paquetes & verá solo un hash enviado o deshabilitará JavaScript en su navegador, y el envío del formulario debería fallar.

Es esencial mirar el JavaScript incluido de una página cuando se considera el envío de formularios, ya que es la única forma de cifrar o cifrar valores en el lado del cliente.