اس کا مطلب ہے کہ حملہ آوروں کے انکرپٹ شدہ والٹس میں سے کسی ایک کو ڈکرپٹ کرنے کے امکانات اس صورت میں بہت کم ہیں جب ماسٹر پاس ورڈ مضبوط تھا، یعنی لمبا، تصادفی طور پر تیار کیا گیا، اور زیادہ اینٹروپی ہے۔ تاہم، ہر کوئی ایسے ماسٹر پاس ورڈ استعمال نہیں کرتا۔ اس صورت میں کہ ماسٹر پاس ورڈ کو پاس ورڈ کریکرز کے ذریعے تبدیل کیے جانے والے الفاظ کی فہرستوں میں شامل کیا گیا تھا، کامیابی کے امکانات زیادہ ہوں گے، اگرچہ اب بھی امکان نہیں ہے۔
موٹے طور پر دیکھا جائے تو واقعہ میں مماثلت ہے۔ 2022 LastPass کی خلاف ورزیجس نے حملہ آوروں کو انکرپٹڈ یوزر والٹس حاصل کرنے کی بھی اجازت دی۔ بالآخر، حملہ آور ان میں سے کچھ سے خفیہ معلومات حاصل کرنے میں کامیاب ہو گئے۔ کامیابی دو چیزوں کا نتیجہ تھی۔
سب سے پہلے، کچھ فیلڈز، جیسے کہ ویب سائٹ کے یو آر ایل، والٹس میں غیر خفیہ رہے۔ اس کا مطلب ہے کہ حملہ آور ماسٹر پاس ورڈ کے بغیر بھی انہیں پڑھ سکتے تھے۔ دوسرا، کچھ چوری شدہ والٹس میں فرسودہ الگورتھم استعمال کیے گئے جس نے سادہ متن کے پاس ورڈ کو ہیش میں تبدیل کرنے کے عمل کو مناسب طور پر تیز نہیں کیا۔ ڈیشلین نے کہا ہے کہ والٹس میں کوئی بھی صارف فیلڈ غیر خفیہ نہیں ہے۔ مزید، جب الگورتھم کو وقفے وقفے سے کریکنگ کی صلاحیتوں میں پیشرفت کے حساب سے مضبوط کیا جاتا ہے، تو یہ عمل خود بخود ہوتا ہے، بغیر کسی تعامل کی ضرورت ہوتی ہے۔ اس وقت LastPass والٹس کے لیے الگورتھم اپ ڈیٹ کا عمل زیادہ صارف رگڑ کے ساتھ آیا تھا۔
Dashlane کی ابتدائی اطلاع نے حملے کی اہم تفصیلات کو چھوڑ دیا اور اس کی قیادت کی۔ کافی الجھن صارفین کو درپیش جاری خطرے کے بارے میں۔
احتیاط کی کثرت سے، دونوں ماسٹر پاس ورڈز اور کسی بھی برآمد شدہ ڈیشلین والٹس کے مواد کو فوری طور پر تبدیل کر دینا چاہیے تاکہ اس موقع کو کم کیا جا سکے، تاہم اس بات کا امکان نہیں ہے کہ حملہ آور ماسٹر پاس ورڈ کو توڑنے میں کامیاب ہو جائیں۔ غیر متاثرہ ڈیشلین صارفین کو ایسی کوئی کارروائی کرنے کی ضرورت نہیں ہے۔
