LastPass一次恢复密码--怎么回事？

Question

LastPass密码管理器在使用插件的每个浏览器中本地存储一次恢复密码：

http://helpdesk.lastpass.com/account-recovery/

我的问题是，你怎么能有一个以上的密码？

我认为LastPass使用PBKDF2的一个变体从您的主密码中派生出加密密钥，然后在本地使用该加密密钥使用AES加密数据。这个场景中没有多个密码的空间，除非数据被多次加密。而且，除非OTP存储在服务器端，否则它们如何启用或禁用OTP？只是闻起来很可疑。如果我的数据的加密密钥永远不会离开我的计算机，我无法理解除了我的主密码之外的任何密码如何允许访问我的密码库，除非有LastPass没有告诉我们的东西，并且本地Javascript加密都是烟雾和镜像。

更新

我联系了LastPass，他们给了我一个解释：http://forums.lastpass.com/viewtopic.php?f=12&t=22959&p=87289

Answer 1

他们可以使用类似于Linux统一密钥设置 (LUKS)的系统，该系统通常用于加密Linux下的HDD分区。LUKS通常也与PBKDF2和AES一起部署，就像在您的问题中一样。

使用LUKS，数据在Master Key下加密，然后对每个User Key加密一次。用户密钥由一个或多个User Passwords生成，每个密钥单独存储。这样，您就可以使用任何密码来生成主密钥并解密数据。

所有这些都在上面链接的pdf的“概述”部分中详细解释。

您还可以将不同的密钥给不同的人，并撤销对个人的访问，而不必更改任何密钥/密码。