Si está buscando comparar un servicio en la nube como LastPass con una aplicación local como KeePass, entonces sí, hay un compromiso de seguridad.
Con una aplicación como KeePass, donde tienes control total sobre el almacenamiento de tu base de datos de contraseñas (suponiendo que no lo estés poniendo en DropBox o algo así), la única superficie de ataque de la que tienes que preocuparte es tu propio sistema y los dispositivos en los que se almacena su base de datos de contraseñas. En términos generales, no es probable que estos estén sujetos a ataques dirigidos (o, como a los medios les gusta llamarlos, APTs ). Siempre y cuando siga las mejores prácticas de seguridad en su sistema (aplique actualizaciones de software, use antivirus, mantenga un firewall y / o enrutador correctamente configurado entre usted e Internet, etc.), su base de datos de contraseñas probablemente esté a salvo de amenazas basadas en Internet .
Tenga en cuenta que no estoy comparando las amenazas locales (que involucran el acceso físico) aquí, porque esto es algo que afecta a ambas opciones de manera bastante equitativa: debe tener una copia local de su base de datos de contraseñas en algún lugar para poder usarla, por lo que ser igualmente vulnerable a las amenazas físicas independientemente de si utiliza una solución basada en la nube o local. Esto no quiere decir que estos sistemas sean especialmente débiles contra las amenazas locales, ya que la protección de la base de datos con una contraseña y un algoritmo de cifrado sólidos lo mitiga en gran medida, pero es probable que uno de ellos no sea mucho mejor que el otro en estos escenarios.
En el caso de LastPass y otros administradores de contraseñas basados en la nube, las superficies de ataque y las amenazas asociadas son mucho más grandes. Sus sistemas están siempre encendidos y son objetivos de muy alto perfil y alto valor. Si alguien alguna vez hace pwns totalmente, LastPass, no se sabe a qué tipo de sistemas pueden acceder. Aunque estoy seguro de que toman muy en serio la seguridad de su sitio, es probable que estén sujetos a tantos ataques como cualquiera de los otros servicios de confianza del usuario que han sido pirateados recientemente. Como dice el dicho, no se trata de si serán pirateados, solo es cuestión de cuando . Además, todavía debe preocuparse por la seguridad de su (s) sistema (s) que se sincronizan con LastPass.
¿Son las soluciones de LastPass u otras basadas en clould una compensación de seguridad para el uso, en comparación con las opciones administradas localmente, como KeePass? Absolutamente. ¿Vale la pena? Eso lo decides tú.
EDITAR: para aclarar el problema de lo que está almacenado en el servidor de LastPass ...
No solo almacenan datos para el hashing / salado de su contraseña maestra en su servidor. Si bien es un elemento importante de información importante , debe preocuparse por la necesidad de almacenar todo lo que desea sincronizar entre sus dispositivos en sus sistemas. . Es decir, si alguien alguna vez hackea LastPass y extrae su contraseña maestra de su base de datos, podrá acceder a todas las contraseñas y otros detalles que tenga sincronizados entre sus dispositivos sin tener que tocar su cuenta. dispositivos propios.
Con una base de datos almacenada localmente, como KeePass usa, no tiene que preocuparse tanto por tales ataques. Eso no quiere decir que sea imposible que alguien entre en su base de datos KeePass a través de Internet. Es mucho menos probable que lo intenten, y es una amenaza mucho más fácil para que usted se mitigue. (Además, si un atacante en Internet puede abrir su base de datos KeePass y usted usa el mismo sistema para iniciar sesión en las cosas para las que la base de datos tiene contraseñas, probablemente ya tenga suficiente poder para que no importe).