Normalmente i server LastPass non invieranno password crittografate a meno che il client non dimostri di conoscere la password principale. Con l'hash trapelato, diventa possibile per un utente malintenzionato recuperare le password crittografate (cioè i ciphertexts, che sono inutili senza la password principale) senza prima screpolare l'hash trapelato per ottenere la chiave master?
Mi rendo conto che a questo punto LastPass non invierà password crittografate ai nuovi IP, ma deve esserci stata una finestra in cui avrebbero dovuto. Se ciò è possibile, allora dobbiamo supporre che gli aggressori siano riusciti a prelevare almeno una parte delle password crittografate.
Questa sarebbe una cattiva notizia per chiunque abbia una password master non ottimale, perché se c'è qualche possibilità che possa cadere in un attacco offline allora cambiare la tua password principale da sola non aiuterà : dovresti anche cambiare la password effettiva prima la tua password principale debole è incrinata.
Al contrario, se non pensi che la tua password principale possa cadere in un attacco offline, dato quello che sappiamo sull'algoritmo di hashing, allora non ha senso cambiare nulla. L'unico scenario in cui cambierebbe la tua password principale ma non le password effettive è se ritieni che i tuoi testi cifrati non siano stati scaricati dall'attaccante. Altrimenti puoi cambiare tutto o non modificare nulla.
È uno scenario plausibile? Ti aspetteresti che gli aggressori siano riusciti a recuperare una certa percentuale dei testi cifrati della password crittografata?