有一种方法可以查看 LastPass 是否按照他们所说的进行。

使用非二进制 Chrome、Firefox、Opera 或 Safari 扩展程序。这是 100% JavaScript 并且在您可以看到的意义上是开放的——您可以使用代理（例如 Paros）的网络嗅探来查看敏感数据是使用 AES-256-CBC 从创建的密钥生成的数据中加密的使用您在您的帐户上设置的 PBKDF2-SHA256 轮数：http: //helpdesk.lastpass.com/security-options/password-iterations-pbkdf2/，这仅在您的计算机上本地完成。

然后在您想再次审核之前不要更新/升级您的扩展程序。您还可以审核我们与二进制扩展交互的方式，以确定您是否信任它。

这对大多数人来说有点极端，但许多人和组织已经审核了 LastPass 并喜欢他们发现的内容。LastPass 总是对任何希望进行审核的人有所帮助，如果您需要帮助，请随时与我们联系。

LastPass 知道信任但验证并鼓励您这样做是完全合理的。我们告诉人们使用扩展而不是网站是有原因的：扩展不能像网站那样容易更改，从而使它们更安全。

资料来源：我为 LastPass 工作。

其中一些答案已经过时了，但这个主题足够重要，我认为值得重新审视。

LastPass 断言他们提供了零知识证明实现——即加密发生在客户端（密码是密钥），并且他们可能无法解密数据，即使他们想要。如果他们收到搜查令或法院命令，他们将依法有义务交出数据，但数据仍将是加密形式，然后由各自的调查人员的超级计算机（或适度的 GPU 阵列）来处理破解那个。在这方面，它与在 DropBox 中存储 KeePass DB 基本上没有什么不同（我已经看到更多次我想提及）

话虽如此....

LP 最近发布了他们的 CLI 客户端的源代码：https ://github.com/LastPass/lastpass-cli

现在由我们来进行同行代码审查，以验证他们的声明与交付的内容是否匹配。

最重要的是询问来源，了解数据库是如何生成、编码和加密的，是否符合最佳标准和实践（或更好），清除错误（或“无意的后门”），以及生成的产品是否符合由封闭的黑盒实现生成 - 类似的思维过程涉及从源代码编译代码并将校验和与针对二进制生成的校验和进行比较。

恕我直言，需要来自信誉良好的组织的独立代码审查和渗透测试，因此远远超出了我自己的技能。

这不是试图窃取或以其他方式对他们的 UX 秘密酱进行逆向工程，他们（正确地）增加价值并从中获得收入 - 我很乐意为此投入资金和客户，因为他们使良好的安全性变得更简单让我的生活更安全、更轻松——而是安全社区提高标准并确保那些遵守 Kerckhoffs 原则的人因其承诺而获得回报的一种方式。

您可以验证它的唯一方法是在您每次访问密码时查看他们发送给您的代码。换句话说，你不能。但是，如果他们曾经向任何人发送恶意代码，那么人们就有可能注意到这一点，并且只需一个人提出该恶意代码，每个人都会知道它。

即使您信任一家公司，您也不能完全信任他们提供的产品/服务。可能会发现/利用其中的漏洞，或者公司本身可能会受到损害。每当您让一方可能访问您的密码时，请认为该方知道该密码。在网站的正常注册/登录过程中，您正在与实际上并不重视您的密码的人打交道，因为他们不需要密码。一旦涉及第三方，这种保证现在就不存在了。

如果必须，请使用 KeePass2 等本地密码保险箱并将其存储到您控制的可移动媒体中。

此外，如果一家公司使用“完全安全”之类的短语，请知道他们已经在试图欺骗您。