仅在在线字典攻击环境中，短 PIN 码对攻击者来说是一个严重的障碍。区别如下：

• 在线字典攻击：对于每个潜在的密码/PIN 码，攻击者必须针对诚实的系统（服务器、正在运行的应用程序...）进行尝试。

• 离线字典攻击：攻击者可以获得一些数据（散列值、加密文件...），从而允许他在自己的机器上测试潜在的密码/PIN 码。

离线字典攻击更强大，因为它们可以以攻击者关心的 PC 的全速运行。相反，在线词典攻击可以被“诚实系统”缓慢响应，甚至在太多失败后拒绝响应来阻止。这是智能卡的模型：它们在 3 个（或 5 个或其他可配置值）错误的 PIN 码后锁定。

在 LastPass 的情况下，理论是您应该维护设备的物理安全（不要让您的智能手机被盗）；PIN 码只是对试图在在线字典攻击环境中获取密码的“临时攻击者”的额外保护（即，攻击者是临时借用您的智能手机但想要保持谨慎的“朋友”，因此会不要打开它直接访问文件）。

lastpass 主密码永远不会存储在安卓手机上。它仅在内存 (RAM) 中。但是，即使您重新启动设备，您与 lastpass 服务器的会话也不会终止。您的主密码的加密副本存储在 lastpass 服务器上。如果您的会话处于活动状态，手机会下载该加密版本并使用手机上存储的随机 256 位密钥对其进行解密。请注意，随机密钥存储在手机上，而不是主密码。如果您终止会话，lastpass 服务器将删除其服务器上链接到该会话的加密副本。

关闭您的 wifi 和数据，重新启动，您将看到您将无法仅使用密码登录。那是因为主密码永远不会存储在手机上。此外，如果您终止与 lastpass 服务器的电话会话（如果您进入设置，您可以使用桌面版本执行此操作），电话上的 pin 将不再起作用。

lastpass 还有其他安全措施与 pin 一起使用。例如，在几次错误尝试（可能是五次？测试它）之后，lastpass 软件将终止会话并从内存中删除加密密钥。然后您必须输入完整的主密码才能登录。

是的，如果用户可以使用 4 位 PIN 访问数据，那么攻击者也可以（至少可以物理访问设备）。

我的猜测是密码以其原始格式加密存储，但解密密钥（源自用户密码）是使用基于 4 位 PIN 的密钥加密存储的。当然，有了这么小的空间，对于能够访问文件的攻击者来说，暴力破解 PIN 并检索密码是微不足道的。FWIW，看来您不必在 LastPass 中启用 PIN 模式。

您的数据在本地使用从您的主密码哈希派生的密钥进行加密，默认情况下重复 4000 次。

PIN 是一种本地便利选项。如果您要在新设备上安装 lastpass，则需要再次输入主密码。

需要明确的是，PIN 用于解锁您的离线保管库。它不用于解密或身份验证。PIN 选项仅适用于用于锁定和解锁保险库的移动设备。它本质上是告诉 lastpass 将我的用户名和密码记住为受信任的设备，但以防万一有人在您的手机解锁时截获您的手机，需要 PIN 才能访问该应用程序。

此外，我建议打开 google 身份验证，以便尝试安装 lastpass 并访问您的帐户的新设备必须拥有您的身份验证器。这是防止人们访问您的资料的好方法，即使他们碰巧知道您的主密码。