Все шифрование / дешифрование происходит на вашем компьютере, а не на наших серверах. Это означает, что ваши конфиденциальные данные не передаются через Интернет и никогда не затрагивают наши серверы, а только зашифрованные данные.
[...]
Ваш ключ шифрования создается из вашего адреса электронной почты и мастер-пароля. Ваш мастер-пароль никогда не отправляется на LastPass, только односторонний хэш вашего пароля при аутентификации, что означает, что компоненты, составляющие ваш ключ, остаются локальными. Вот почему очень важно запомнить ваш мастер-пароль LastPass; мы не знаем этого, и без этого ваши зашифрованные данные не имеют смысла. LastPass также предлагает расширенные параметры безопасности, которые позволяют добавлять больше уровней защиты.
Источник: http://lastpass.com/help.php?topic=whysafe&nw=1&fromwebsite=1
Другими словами, ваш компьютер шифрует ваши пароли с помощью вашей электронной почты и мастер-пароля и отправляет эти данные в Lastpass. Когда вы проходите аутентификацию с помощью своего мастер-пароля на Lastpass.com, Lastpass.com возвращает все ваши зашифрованные пароли, которые дешифруются локально на вашем компьютере с помощью вашей электронной почты и мастер-пароля. Каждое общение происходит по SSL, поэтому все перехваченное бесполезно вдвойне (поскольку все шифруется не только ключами SSL, но и вашей электронной почтой и мастер-паролем).
Лучший способ убедиться в этом - настроить скрипт для мониторинга сетевой активности и проверки того, что все, что расшифровано (включая главный пароль), отправляется на lastpass.com. Судя по тому, что я видел на форумах, другие пользователи сделали это и не нашли ничего подозрительного.