Si LastPass no almacena su contraseña maestra, ¿cómo puede iniciar sesión para usar su aplicación web?
Seguramente debe escribirlo, se envía a través de SSL y luego se graba en el servidor y se compara con lo que hay en su base de datos, como cualquier otro esquema de inicio de sesión en la web.
No, el sitio web de LastPass normalmente no conoce sus credenciales de inicio de sesión.
En su sitio web, proporcionan código JavaScript para realizar descifrado en el navegador. Entonces, sí, aún debemos confiar en LastPass que este código se implementó correctamente, pero la contraseña no se envía a sus servidores.
Nota: Confiar en el uso de lásspas significa que debemos confiar en que no le den una versión no estándar de su sitio web javascript para ciertas direcciones IP especiales a petición de la NSA si usan un Carta de seguridad nacional .
Recursos:
También vea ¿Qué tan seguros son los administradores de contraseñas como LastPass? .
Me preocupaba su integridad de seguridad y el hecho de que sus contraseñas se guardan en servidores ubicados en los EE. UU. Aunque solo almacenan datos encriptados, LastPass está obligado a proporcionar estos datos al gobierno de los EE. UU. Cuando se los solicite (debido a la Ley PATRIOT ).
Desde que me di cuenta de esto, me mudé a KeePass Password Safe , un administrador de contraseñas sin conexión con protección contra keyloggers.
Lea otras preguntas en las etiquetas passwords authentication tls