"Na ne vicceljünk már. Ha feltörik a szervert, akkor
1. Manipulálhatják azt, hogyan érkezzenek meg a jelszavak.
2. Valahol tárolják azt a mesterjelszót, vagy annak a hash-ét, amivel akár webes felületen is dekódolhatod a jelszavadat."

Ez már kicsit ilyen "Ha nagyanyámnak kereke lett volna..."-esetnek tűnik.
Hogyan manipulálják az összes kliensoldali programot? Amennyiben helyesen kliensoldali titkosítás van, akkor ahhoz ez kellene. Mondjuk ha nagyon akarom, kitalálom a gondolatodat, hogy akkor biztos egy észrevétlen update formájában felülírják a korábbi módszereket. De ne már... amúgy is, nyilván senkinek nem tűnne fel egy ilyen pofátlan módosítás...
Ha jól oldják meg a kliensoldali titkosítást, és az adatbázisban tárolt jelszó nem egy simán MD5 hash-elt ellátott karaktersorozat, akkor azért igen bonyolulttá és rendkívül időigényessé válhat a feltörés, vagy hogy egyáltalán bármit tudjanak a jelszavakkal kezdeni. Ugyanez vonatkozik a mesterjelszóra.
Nem tudom, hogy oldják meg a LastPass-nál, feltételezem, tanultak a korábbi feltörésből, és megfelelően töltik fel és tárolják az adatokat. Például a magyar fejlesztésű Tresoritnak pont az az egyik lényege, hogy hiába látnak rá a tulajdonosok vagy épp a hackerek az összes, felhőben tárolt adatra, azzal semmit sem tudnak kezdeni, nem tudnak belőle értelmes adatot kinyerni (épp ezért hirdettek versenyt 10000$ jutalommal, akinek sikerül értelmes adatot kinyernie (úgy, hogy ugyanazt láthatja, mint a tulajok), megkapja a lóvét; ezzel a módszerrel például elméletben a felhőben tárolt adatokra vonatkozó ipari kémkedés kiszűrhető/értelmetlenné tehető lenne, ami sok felhőalapú tárolási módszernél például nem megoldott kérdés).

Sk8erPeter