LastPass 如何知道我在其他服务中使用了相同的密码?

信息安全 密码管理 最后一次
2021-08-24 09:57:26

所以今天我从 Lastpass(Chrome 扩展和 iOS 应用)切换到了 bitwarden。到目前为止一切顺利,导出我的 lastpass 数据并将其导入 bitwarden 真的很容易,但我想知道 LastPass 是如何知道我使用了与 bitwarden 相同的密码!

假设我的 lastpass 密码是“CorrectHorseBatteryStaple”,并且我在 bitwarden 上使用了相同的密码(两封相同的电子邮件),然后我收到了 lastpass 通知(就在创建我的 bitwarden 帐户之后),通知我我的密码已在 bitwarden 上使用,以防万一来自bitwarden的违规行为他们无能为力...

他们怎么会知道我使用了相同的密码,并且我的密码安全还是应该全部更改(我已经更改了密码)?

1个回答

这是由 Lastpass 扩展在本地验证的,因此您不会在其他地方重复使用密码管理器的主密码本身。密码管理器使用凭证管理 API 从网页中获取凭证。

为了从主密码中获取加密密钥,Lastpass 将主密码输入PBKDF2,并进行 100,100 次 SHA-256 迭代。再一次迭代(即 100,101)为 Lastpass Web 服务提供登录哈希。

对于它捕获的每个凭证,它会将输入的密码提供给相同的密钥派生函数。在 100,101 次迭代后,如果它产生与登录哈希相同的哈希,则意味着您已经重用了主密码。它可以在本地工作,也可以离线工作。

为什么我的 LastPass 扩展程序只是警告我在其他地方重复使用我的主密码?

其它你可能感兴趣的问题
上一篇CIO 应该依靠哪些关键指标来衡量 IT 风险暴露的程度? 下一篇如何在死后*仅*共享密码?