Lo que lo hace seguro es simplemente que no pueden decirle a nadie cuáles son sus contraseñas, incluso con un arma en la cabeza. Incluso cuando usa la interfaz web, sus contraseñas se cifran localmente antes de ser transmitidas.
Sí, es cierto que proporciona un "punto único de falla" a menos que se use Grid. Sin embargo, podría tener una contraseña maestra ridículamente segura: ¿a quién le importa si tiene que escribir una contraseña de 100 caracteres si solo la hace una vez al día? Y debido a que guarda sus "contraseñas secundarias", puede tenerlas mucho más seguras de lo normal.
Otra ventaja es que la mayoría de las personas no tendrán contraseñas diferentes para cada sitio web (o tendrán un patrón), y LastPass le permite deshacerse de esto. Entonces, mientras que antes de que cada sitio en el que estuvieras fuera un punto de entrada potencial para todos los demás sitios en los que estabas, ahora solo lo es tu cuenta de LastPass. Descifrar cualquier "subcontraseña" no proporciona información adicional a un atacante.
Esto es útil porque no tiene idea de si los sitios en los que se encuentra están encriptando su contraseña o si la salan. Podría nombrar un sitio web con 11 millones de usuarios que almacena contraseñas sin cifrar en su base de datos.
Finalmente, LastPass ofrece características como contraseñas de un solo uso para acceder a sus contraseñas en ubicaciones no confiables, lo que mantiene su cuenta segura incluso de los keyloggers más avanzados.