Soy un usuario Premium de la aplicación Lastpass y me encanta, pero no sé qué tan seguro es poner todas mis contraseñas en la nube.
Soy un usuario Premium de la aplicación Lastpass y me encanta, pero no sé qué tan seguro es poner todas mis contraseñas en la nube.
Depende si confía en los desarrolladores, administradores de sistemas y equipo legal de Lastpass.
La reclamación de Lastpass para usar AES, con una conexión HTTPS a su servidor, envía el código de encriptación a un navegador desde sus servidores, para que su computadora / dispositivo realice la encriptación con una contraseña maestra que nunca ven. Las contraseñas encriptadas se envían a su servidor.
¿Qué podría salir mal?
El código AES podría ser incorrecto o, lo que es peor, malicioso. Puede haber una puerta trasera con una contraseña secreta que pueden usar para ver sus contraseñas.
En realidad, pueden enviar la contraseña maestra a sus servidores, tal vez a través de medios difíciles de detectar, para que puedan ver todas sus contraseñas.
Alguien podría haber pirateado sus servidores y reemplazado el código con una versión que tenía el comportamiento anterior, pero que envía los datos a un tercero.
Alguien podría haber logrado robar los certificados del servidor y realizado un ataque MitM contra ti.
Un gobierno podría haber obligado a Lastpass a reemplazar el código normal con un código malicioso, y su equipo legal pudo haber cumplido.
¿Son probables?
Es difícil de decir, pero todo es posible.
Entonces ...
Si están operando exactamente como dicen, manteniendo los servidores a salvo de la manipulación, asegurándose de que los certificados se conserven correctamente y resistiendo la interferencia del gobierno, en teoría, los datos de contraseña cifrados AES deberían estar bien. Pero hay muchas cosas que podrían salir mal.
Personalmente, uso su servicio, ¡pero no lo haría si estuviera almacenando códigos de lanzamiento nuclear!
Lea otras preguntas en las etiquetas password-management