Effettuare un attacco a forza bruta l'unica opzione possibile è una caratteristica desiderata di un sistema di sicurezza.
Questo "solo" significherebbe che non ci sono punti deboli nell'algoritmo o nell'implementazione e il sistema potrebbe essere rotto solo provando tutte le combinazioni di possibili password.
Oltre a fare in modo che l'attacco di forza bruta sia l'unico possibile, dovrebbe anche essere reso difficile da eseguire.
Nel caso del database LastPass '(un file non crittografato offline) le contromisure sono limitate, ma sia il design del sistema che l'utente hanno influenza sull'efficacia di un attacco.
Primo: il database è protetto con una chiave derivata da una password che utilizza PBKDF con un numero specificato di iterazioni, il che aumenta il tempo richiesto per confermare ogni tentativo di indovina.
Gli utenti devono impostare il numero di iterazioni di PBKDF alto al punto di sopportare il tempo necessario per aprire il database sui propri dispositivi (questo può variare per PC e dispositivi mobili).
Secondo: gli utenti devono usare password complesse per rendere più difficile l'attacco a forza bruta (possibilmente fino al punto di infecondità).
L'autenticazione a due fattori in LastPass non protegge il database delle password, ma l'accesso al servizio online che fornisce il database delle password dell'utente crittografato.
Una volta scaricato il database, si tratta di un file crittografato statico e l'autenticazione del 2 ° fattore non è necessaria per decrittografarlo.