Comment LastPass stocke-t-il mes mots de passe sur leur site Web?

Tout le cryptage/décryptage se produit sur votre ordinateur, pas sur nos serveurs. Cela signifie que vos données sensibles ne transitent pas par Internet et ne touchent jamais nos serveurs. Seules les données cryptées le font.

[...]

Votre clé de cryptage est créée à partir de votre adresse électronique et de votre mot de passe principal. Votre mot de passe principal n'est jamais envoyé à LastPass, il ne s'agit que d'un hachage à sens unique lors de l'authentification, ce qui signifie que les composants qui constituent votre clé restent locaux. C'est pourquoi il est très important de garder en mémoire votre mot de passe principal LastPass. nous ne le savons pas et sans cela, vos données cryptées n'ont pas de sens. LastPass propose également des options de sécurité avancées vous permettant d'ajouter davantage de couches de protection.

Source: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1

En d’autres termes, votre ordinateur chiffre vos mots de passe avec votre courrier électronique et votre mot de passe principal et envoie ces données à Lastpass. Lorsque vous vous authentifiez avec votre mot de passe principal sur Lastpass.com, Lastpass.com renvoie tous vos mots de passe chiffrés, qui sont déchiffrés localement sur votre ordinateur avec votre adresse de courrier électronique et mot de passe maître. Toutes les communications se font via SSL, donc tout ce qui est intercepté est doublement inutile (puisque tout est crypté avec non seulement les clés SSL, mais également votre email et votre mot de passe principal).

Le meilleur moyen de vous en assurer est de configurer un script pour surveiller l'activité du réseau et voir si tout ce qui est déchiffré (y compris le mot de passe principal) va à lastpass.com. D'après ce que j'ai vu sur les forums, il semble que d'autres utilisateurs l'aient fait et n'ont rien trouvé de suspect.