关于密码管理器的可能风险。
事实上,攻击者知道主密码是不可能的。这是因为 LastPass 认证(与适当的PAKE协议不同)容易受到哈希传递攻击。
这一段翻译有问题,它本身就是不合逻辑的,后一段提及的是lastpass存在某种问题使攻击者不需要主密钥就可以完成攻击,前一段写的是攻击者不可能知道主密码,两者就不存在因果性。从逻辑上看,应该是攻击者“不需要”知道主密码,原文也表达同一意思,原文照抄如下:
It is in fact not given that the attackers know the master password. That’s because LastPass authentication (unlike proper PAKE protocols) is vulnerable to pass the hash attacks.
事实上,攻击者知道主密码是不可能的。这是因为 LastPass 认证(与适当的PAKE协议不同)容易受到哈希传递攻击。
这一段翻译有问题,它本身就是不合逻辑的,后一段提及的是lastpass存在某种问题使攻击者不需要主密钥就可以完成攻击,前一段写的是攻击者不可能知道主密码,两者就不存在因果性。从逻辑上看,应该是攻击者“不需要”知道主密码,原文也表达同一意思,原文照抄如下:
It is in fact not given that the attackers know the master password. That’s because LastPass authentication (unlike proper PAKE protocols) is vulnerable to pass the hash attacks.