Importancia de la declaración de las bóvedas de usuarios de Lastpass y la autenticación de dos factores

Como LastPass es un servicio propietario, puede ser difícil dar respuestas definitivas al respecto. Puedo decir que no he visto ninguna documentación de que la autenticación de 2 factores (2FA) lo protegería de un ataque de puerta lateral en el que sus datos son robados del servidor. Dicho esto, 2FA proporciona seguridad adicional contra un ataque a través de la API.

Por lo tanto, me parece que la declaración sobre 2FA está destinada a tranquilizar al público y alentar prácticas más seguras en lugar de proporcionar una estrategia para protegerse contra ataques LastPass similares.

Sí, si la bóveda cifrada se roba del servidor, 2FA no ayuda. Sin embargo, si su contraseña maestra es segura, el pirata informático no podrá descifrar la bóveda ya que su contraseña maestra la cifrará.

2FA es útil cuando la contraseña maestra del usuario es robada (o débil). En ese caso, 2FA detendría al atacante de descargar la bóveda cifrada. Además, según la declaración oficial de Lastpass, se robaron los hashes de la contraseña maestra, no la bóveda cifrada. En ese caso, 2FA agrega seguridad adicional, ya que si el pirata informático es capaz de eliminar hash para obtener la contraseña maestra, aún no puede iniciar sesión para descargar la bóveda cifrada.