Lesspass: Pergunta: Buscando clareza adicional nas perguntas frequentes de comparação entre KeePass e LessPass

Do FAQ, KeePass vs LessPass :

Armazene contas / senhas em um banco de dados criptografado com sua senha mestra

vs

Calcule uma senha única para cada conta com base em sua senha mestra; sua senha gerada nunca é salva

O banco de dados criptografado é de pouca utilidade sem a senha mestra para descriptografá-lo. Se o invasor não tiver a senha mestra, ele ainda precisará do banco de dados criptografado para obter as senhas contidas, pois não são derivadas da senha mestra.

Em contraste, embora o LessPass não armazene senhas, a própria senha mestra é uma forma de armazenamento. Uma vez conhecidas, as senhas dos usuários não são mais protegidas. Os perfis para acomodar os serviços que precisam deles provavelmente não se desviarão muito dos requisitos mínimos dos serviços; se o usuário se desviou explicitamente disso, isso beneficia a segurança; os parâmetros do perfil, como contador, nem tanto.

Os perfis, entretanto, provavelmente serão armazenados e, portanto, semelhantes à comparação de um arquivo de banco de dados criptografado. Um benefício do LessPass é que os serviços podem ser determinísticos na geração de senhas, mas quais aqueles usados ​​junto com quaisquer outros metadados de conta não são tão óbvios. Se o invasor não estiver atrás de um serviço específico ou provável para fazer logon com as credenciais de destino, o risco de comprometimento pode ser menor.

O banco de dados pode ser roubado e forçado de forma bruta offline, as senhas não são criptografadas individualmente, portanto, todo o banco de dados fica vulnerável

vs

Teria que sites de força bruta para adivinhar as senhas mestras, a maioria dos sites registra e atenua isso (reCAPTCHA, bloqueio de tentativas múltiplas, etc)

Supondo que uma senha mestra adequada foi usada para proteger o banco de dados criptografado, o ataque offline não é tão viável. Acredito que tenha sido esse o caso com o LastPass quando foi comprometido, os invasores tinham dados criptografados, mas era efetivamente inútil sem as chaves para descriptografar.

O LessPass é descrito como exigindo um ataque aos sites ... um ataque mais prático seria contra um site que apresenta uma violação em que o banco de dados com hashes de senha foi comprometido. Isso também permite um ataque offline.

LessPass é ainda mais forte, no sentido de que não apenas o invasor precisa realizar 100k iterações de PBKDF2 para adivinhar a senha mestra, mas a senha gerada para a conta do site também deve passar por esses serviços slow-hash / KDF. Combinado, pode elevar o cálculo por estimativa acima do KeePass.

TL; DR:

• A senha mestra LessPass é quase equivalente à senha mestra KeePass + banco de dados criptografado. A senha mestra do KeePass não é útil sem acesso ao banco de dados criptografado também.
• O LessPass pode ter dados de perfil armazenados, que juntamente com uma senha mestra permite o acesso a cada serviço no qual o usuário possui uma conta . No entanto, ter a senha mestra não revela todos os serviços que o usuário registrou com as senhas geradas pelo LessPass.
• O LessPass também pode ter a senha mestra atacada offline. Exige apenas acesso a um banco de dados de um serviço com o qual o usuário tem uma senha LessPass, que, se for bem-sucedido, permite que o invasor gere senhas para outros serviços de forma determinística.

Eu entendi essa comparação corretamente?

Para a maioria dos usuários e suas senhas, uma senha mestra LessPass é equivalente a ter todas as senhas que deriva e é mais acessível a invasores do que provedores de nuvem ou KeePass (ou aplicativos semelhantes), em que um único serviço sendo violado e vazamento de hashes de senha permite atacando para começar?

Não pedindo nenhuma mudança no wiki, acho que pode ser seguro assumir que as comparações de uma parte podem ser tendenciosas (por exemplo, não há menção sobre desvantagens como alterar a senha mestra ).