LastPass如何解密密码？

Question

我是一个web开发人员，不是一个安全专家，但我对安全性有一点了解，因为作为一个web开发人员，我需要它。

据LastPass称，

LastPass在使用256位AES加密到服务器之前对Vault进行加密.由于Vault在离开您的计算机并到达LastPass服务器之前已经加密，即使是LastPass员工也无法看到您的敏感数据！

据我所知，这仅仅意味着LastPass员工不能使用任何方法查看密码。那么，我们如何才能找到保存在他们服务器上的密码(加密密码)呢？我的意思是，如果他们的程序可以为我们显示密码，为什么员工不能用同样的方法解密存储在他们服务器中的密码呢？

还是我误解了某些观点？

Answer 1

解密发生在您的设备上，使用启动程序时输入的密码，或者使用存储版本，如果您选择了“记住我”或正在使用生物识别认证。密码不会发送到他们的服务器，因此员工无法访问它。

更详细的是:主密码用于生成加密密钥，然后在客户端设备上使用该密钥加密密码。当您登录到新设备时，您输入的密码将用于生成相同的加密密钥，由于使用了对称加密，因此也允许解密。这实际上意味着主密码是存储的所有其他数据的密钥。

如果更改主密码，则客户端代码将使用由此生成的新密钥重新加密所有密码。如果您存储了大量密码，这可能需要一段时间。