Los 2 son diferentes.
El administrador de contraseñas incluido en su navegador generalmente almacena su contraseña en su sistema de archivos y los protege con su cuenta de sistema operativo. Por ejemplo, en Windows, si desea ver sus contraseñas guardadas, necesita ingresar sus credenciales de Windows.
Por otra parte, Lastpass almacena sus contraseñas en su servidor y las cifra con la contraseña maestra asociada a su cuenta de Lastpass.
Veamos los problemas de cada uno
Administrador de contraseñas del navegador : asume que su cuenta de sistema operativo es segura. Si alguien más conoce la contraseña de su cuenta del sistema operativo, puede robar toda la contraseña de su administrador. En Chrome, por ejemplo, parece que su contraseña está simplemente en texto sin formato en su sistema de archivos. Entonces, si dejas que tu sesión se abra y dejes tu computadora, cualquiera puede robar tu contraseña. Un administrador del sistema operativo probablemente puede hacerlo también ...
Pero con Firefox, tiene la opción de seleccionar una contraseña maestra para cifrar / descifrar su contraseña. Si selecciona esta opción, sus contraseñas deben ser seguras incluso si otra persona accede a su computadora.
Lastpass : se supone que usted es el único que conoce su contraseña maestra, lo que probablemente sea cierto. Por otro lado, si alguien es capaz de encontrar su contraseña maestra (tal vez al piratear en Lastpass), tendrá acceso a todas sus contraseñas.
Diría que ambas opciones son suficientemente buenas: Firefox con contraseña maestra y último paso.
Sobre el uso de javascript para codificar tu contraseña.
Yo diría que es principalmente un truco de LastPass para que te sientas más seguro, pero en realidad no es un problema. Una cita de ellos:
Todos los datos confidenciales se cifran y descifran localmente antes de la sincronización
con LastPass. Tu llave nunca abandona tu dispositivo, y nunca se comparte.
con LastPass. Sus datos permanecen accesibles solo para usted.
Afirman que es más seguro porque el último paso en sí mismo ni siquiera puede conocer su contraseña maestra, ya que nunca la recibirá. Pero en realidad, ya que controlan el javascript, ¿hace una gran diferencia si encripta / desencripta localmente o en su servidor? En general no. Podrían eliminar el javascript cuando quieran recibir su contraseña maestra directamente si lo desean.
Pero volviendo al javascript ... Cuando su página es segura, un atacante no puede modificar el javascript. Si su página era insegura, un atacante podría simplemente registrar todo lo que escribe y robar su contraseña maestra de todos modos. El uso de javascript para cifrar / descifrar es irrelevante aquí, solo debe preguntarse si su página es segura o no, y probablemente lo sea.
Pero, afirman que se salvó del ataque del corazón.
Sin embargo, LastPass es único porque sus datos también están cifrados con un
clave a la que los servidores LastPass no tienen acceso. Sus datos sensibles son
nunca se transmite a través de SSL sin cifrar, ya está cifrado cuando
Se transmite, con una clave que LastPass nunca recibe. Mientras este bicho
sigue siendo muy grave, no pudo exponer a los clientes de LastPass
Datos encriptados debido a nuestras capas extra de protección. En la mayoría
de la web, los datos del usuario no están encriptados antes de ser transmitidos a través de
SSL, de ahí la preocupación generalizada.
Source