En primer lugar, utilicé Google Academic para buscar artículos sobre LastPass, administradores de contraseñas y memoria forense. Fue la última que encontré más útil
Amari, K. (2009) Técnicas y herramientas para recuperar y analizar datos de la memoria volátil.
Después de obtener un análisis y extracción de memoria comprensivos, creé una máquina virtual de Windows 7 con 2 GB de RAM, instalé algunos navegadores en algunas páginas web, instalé LastPass, reinicié la máquina y capturé un volcado de memoria usando DUMPIT (Buscar DUMP IT Memory dump). Analicé el volcado de memoria utilizando la estación de trabajo SIFT, en el terminal usé el comando
strings windows7.raw | grep “password” > output.txt
Intercambiando "contraseña" por direcciones de correo electrónico, contraseñas conocidas de cuentas falsas, nombres de sitios web, etc. No encontré nada, por lo que la memoria estaba limpia.
Luego inicié sesión en LastPass y tomé otro volcado de memoria usando la misma herramienta. Al analizar este archivo se resaltaron varios valores de hash, que confirmaron lo que LastPass dice en su sitio: LastPass almacena los valores de hash cifrados en la memoria.
A continuación, decidí iniciar sesión en sitios web y cuentas, pero no todos ellos solo un número aleatorio de ellos y tomé otro volcado de memoria. Usando los mismos métodos que antes, encontré contraseñas descifradas, dirección de correo electrónico y otra información, esto significa que cuando visita un sitio web para el cual LastPass tiene una contraseña, la descifra y la almacena en la memoria para que la use su navegador.
También debo decir que incluso si no usa LastPass y en su lugar usa un navegador (s) integrado en los administradores de contraseñas, obtendrá los mismos resultados.
Por lo tanto, podría decir que necesitaba saber la contraseña en primer lugar, no busqué simplemente como "pass" o en el caso de los sitios web de Google "Passwd" en el volcado de memoria que proporcionaron las contraseñas.
Si vuelvo a hacer esto, seguiría todos los pasos anteriores. Sin embargo, me desconectaría de la cuenta de Windows y me conectaría a otra cuenta para ver si puedo obtener las contraseñas de ese volcado de memoria. Sospecho que significa que puedes inicie sesión en una computadora pública y obtenga las contraseñas de los usuarios anteriores desde allí volcado de memoria.
Yo diría que LastPass es seguro hasta que inicie sesión en un sitio web, es muy poco probable que alguien pueda descifrar los valores de hash. Al final, no use LastPass ni ninguna otra contraseña en una computadora pública.