O que o torna seguro é simplesmente que eles não podem contar a ninguém quais são suas senhas, mesmo com uma arma na cabeça. Mesmo ao usar a interface da web, suas senhas são criptografadas localmente antes de serem transmitidas.
Sim, é verdade que ele fornece um "ponto único de falha", a menos que o Grid seja usado. No entanto, você pode ter uma senha mestra ridiculamente forte - quem se importa se você precisar digitar uma senha de 100 caracteres se a fizer apenas uma vez por dia? E como ele salva suas "sub senhas", você pode tê-las muito mais fortes do que normalmente.
Outra vantagem é que a maioria das pessoas não terá senhas diferentes para cada site (ou terá um padrão), e o LastPass permite que você evite isso. Portanto, considerando que antes de cada site em que você estava era um ponto de entrada em potencial para todos os outros sites em que você estava, agora apenas sua conta LastPass é. Quebrar qualquer "sub senha" não gera informações extras para um invasor.
Isso é útil porque você não tem idéia se os sites em que você está criptografam ou salgam sua senha. Eu poderia nomear um site com 11 milhões de usuários que armazena senhas não criptografadas em seus bancos de dados.
Finalmente, o LastPass oferece recursos como senhas únicas para acessar suas senhas em locais não confiáveis, o que mantém sua conta segura até mesmo dos keyloggers mais avançados.