หลังเหตุการณ์ LastPass ข้อมูลหลุด ตอนนี้คู่แข่งสำคัญอย่าง 1Password ก็ออกมาแสดงความเห็นว่าแม้รหัสผ่านของผู้ใช้จะถูกเข้ารหัสด้วย PBKDF2 และทาง LastPass จะระบุว่าการเดารหัสผ่านจะใช้เวลานานนับล้านปี หากผู้ใช้ตั้งรหัสผ่านโดยสุ่มมาดีพอและยาว 12 ตัวอักษรขึ้นไป แต่ทาง 1Password ก็ชี้ว่าโดยทั่วไปมนุษย์ไม่สามารถตั้งรหัสผ่านคุณภาพสูงได้อยู่แล้วยกเว้นว่าจะใช้ซอฟต์แวร์สุ่มรหัสผ่านมาให้
รหัสผ่านแบบสุ่มสมบูรณ์ 12 ตัวอักษรนั้นมีความเป็นไปได้ถึง 272 หรือ 4,700 ล้านล้านล้านรูปแบบ แต่ในความเป็นจริงรหัสผ่านที่มนุษย์ตั้งก็จะคาดเดาง่ายกว่านั้นมาก และการยิงแฮช PBKDF2-H256 ที่ประสิทธิภาพดีที่สุดนั้นใช้ต้นทุนเพียง 100 ดอลลาร์ต่อการยิงหมื่นล้านรหัสเท่านั้น และการยิงหมื่นล้านรหัสก็น่าจะเพียงพอที่จะเจาะฐานข้อมูลของคนที่ตั้ง master password เองจำนวนมาก
1Password ใช้กระบวนการเข้ารหัสต่างออกไป คือ ระบบ Secret Key ที่เป็นอักษรสุ่มอย่างสมบูรณ์ 34 ตัวทำให้ความเป็นไปได้มากกว่า 2128 รูปแบบ และ Secret Key นี้เก็บอยู่ในอุปกรณ์ที่ล็อกอิน 1Password ไว้ไม่ได้ส่งกลับเซิร์ฟเวอร์ ทำให้ในกรณีที่เลวร้ายที่สุดที่คนร้ายขโมยฐานข้อมูลของลูกค้าไปได้เหมือนเหตุการณ์ที่เกิดกับ LastPass ตัวฐานข้อมูลก็ยังไม่มีความเสี่ยงที่จะถูกยิงรหัสผ่าน
ที่มา - 1Password