LastPass 安全事件持续发酵，破解常规主密码只需 100 美元

LastPass 今年 11 月发生的安全事件持续发酵。继安全专家对官方公告提出 14 点疑问之后，友商 1Password 也加入拆台行列。

在 LastPass 公告中表示破解用户主密码需要数百万年时间，此前安全专家质疑表示破解常规用户主密码只需要 2 个月时间。而现在友商 1Password 再次拆台，表示破解常规主密码只需要 100 美元（约 698 元人民币）。

1Password 的首席安全架构师 Jeffrey Goldberg 在一篇博文中表示，LastPass 公告所提及的内容大幅夸大了破解难度，而如果真的想要破解常规 LastPass 客户的主密码，成本只需要 100 美元（约 698 元人民币）左右。

Goldberg 支撑这个观点的理由是大多数用户的现实生活中的主密码不是随机的，对于密码破解者来说他们也知道这一点。如果破解只是英文和数字的密码（例如 Fido8my2Sox）要明显简单很多，而如果破解“2b||!2b.titq”、“zm-@MvY7*7eL”自然需要很久。但是普通用户不会使用这样复杂、难以记忆的密码作为主密码。

他说，大多数密码只需不到 100 亿次猜测就可以破解，而且只需大约 100 美元（约 698 元人民币）即可破解。