Бывший инженер LastPass написал чуть больше деталей об утечке и вообще контейнерах пользовательских данных. Если коротко: мастер-пароль пользователя используется для создания мастер-ключа к базе записей в контейнере и шифрования записей. При этом ключ генерируется как pbkdf2, но количество раундов (чем больше итераций, тем сложнее подобрать ключ) было разным. У новых пользователей по умолчанию это 100100 итераций, но у старых пользователей это может быть всего 5000. При этом часть записей вообще зашифрована AES-256 в режиме замены, а URL вообще не зашифрованы. Все это в принципе позволяет 1. использовать старые записи, быстро их расшифровав. 2. предполагая, что кое-где вы выбираете одни и те же пароли, — быстро подбирать записи и сильно быстрее подбирать и мастер-пароль. В непубличных форумах есть и больше информации об этом, но ее распространение уже похоже на нарушение закона, их мы обсуждать не будем. twitter.com/ejcx_/s…31878913