Il Team LastPass afferma quanto segue nelle Domande frequenti :
Do you use a salted hash for logging in?
Yes, we first do a 'salt' of your LastPass password with your username on the client side (on your computer, LastPass never gets your password), then server side we pull a second 256 bit random hex-hash salt from the database, use that to make a salted hash which is compared to what's stored in the database.
Qualcuno sa se la parte "prima facciamo un 'sale' della tua password LastPass con il tuo nome utente sul lato client" è inteso letteralmente?
Secondo questa risposta sembra quasi che questo sia il caso:
Da questi dettagli, la mia ipotesi migliore è che la chiave di decrittografia LastPass sia calcolata da:
DK = PBKDF2(HMAC-SHA256, password, email, <user set>, 256)
Poiché questo sembra essere Pseudocodice, posso solo supporre che il terzo argomento per PBKDF2 sia il sale.
Mi rendo conto che la cosa giusta da fare sarebbe eseguire email tramite PBKDF2 per renderlo più adatto come sale. Questo è ovviamente il punto in cui il gatto insegue la propria coda che probabilmente li ha costretti a usare l'e-mail come sale in primo luogo.