En el escenario donde mi navegador está configurado para confiar en un certificado de firma controlado por una entidad que reemplaza activamente los certificados TLS de todas mis conexiones (básicamente, estoy siendo MITMed), a qué riesgos me enfrento al usar el navegador LastPass ¿extensión? Supongo que, aparte de la sustitución del certificado, mis conexiones solo se escuchan y las cargas no se modifican.
Mi entendimiento actual es el siguiente: El cliente de Lastpass enviará un hash de mi contraseña maestra a los servidores de Lastpass. Un hash válido significará que el servidor devuelve mi bóveda de contraseña cifrada. El MITM puede reproducir este hash para obtener mi bóveda cifrada. El descifrado de la bóveda ocurre en el navegador. Como tales, mis riesgos son:
- MITM obtiene la capacidad de capturar mi bóveda cifrada (ya sea sin conexión o reproduciendo mi contraseña de hash).
- MITM reemplaza la extensión de mi último paso con una versión troyana durante una actualización.
- MITM captura mis credenciales para otros sitios cuando las uso después de recuperarlas desde Lastpass.
¿Mi entendimiento es correcto? ¿Puedo suponer que (a falta de una extensión troyana) mi bóveda en su totalidad y cualquier credencial que no use sobre la conexión MITM son seguras?