Browse posts by popular tags

    LastPass のセキュリティ侵害でマスター パスワードが危険にさらされている [警告]

    Natsuki
    By Natsuki

    クレジット:

    そのブログでは、LastPass のメモシステム内のいくつかの場所で奇妙なネットワーク活動が行われていることに気づきました。トラフィックの根本原因を確認できなかったため、LastPass は最悪の事態を想定しています。

    そのブログから:

    ...私たちは偏執的になり、データベースに保存したデータが何らかの形でアクセスされたという最悪の事態を想定します。私たちは転送されたデータの量を大まかに把握しており、その量がデータベースから人々の電子メール アドレス、サーバー ソルト、およびソルト付きパスワード ハッシュを転送するのに十分な量であることを知っています。また、取得されたデータの量は、多くのユーザーが暗号化されたデータ BLOB を取得できるほど十分ではないこともわかっています。

    LastPass は、この場合の潜在的な脅威は、おそらく辞書ベースのキー ジェネレーターを使用したブルート フォース パスワード攻撃であると指摘しています。このため、LastPass は、辞書に基づいていない強力なパスワードやパスフレーズを持っているユーザーは大丈夫だと述べています。

    ただし、すべてのユーザーが厳密なパスワードを持っているわけではないことを理解して、LastPass はすべてのユーザーにマスター パスワードの変更を要求しています。

    ただし、このパスワード変更による残念な副作用は、LastPass インフラストラクチャに過負荷をかけることです。木曜日の午後 2 時 15 分に、LastPass は次の更新情報を投稿しました。

    記録的なトラフィックに加えて、パスワード変更を行うために殺到する人々は、現在私たちが処理できる量を超えています。

    戦術を変更しています。すでにパスワードを変更している場合は、通常どおり対応します。

    これは、パスワードをまだ変更していない LastPass ユーザーはオフライン モードにログインすることを意味します。 LastPass は通常どおり機能しますが、新しいパスワードの同期は利用できなくなります。

    本当の脅威を理解する

    電子メール アドレス、サーバー ソルト、およびソルト付きパスワード ハッシュが LastPass データベースから削除されるという LastPass の最悪の想定の下で動作しているため、ユーザーが重大なリスクに直面すると考える理由はほとんどありません。

    クラッカーは現在、一部のユーザーのパスワードを解読するためにブルートフォース手法を使用できる可能性がありますが、LastPass は不正なソースからのユーザー アカウントへのアクセスを防ぐために大きな措置を講じています。

    まず、同社はユーザーにマスターパスワードを変更するよう求めています。サイトのサーバー負荷により、このプロセスには数日かかる場合があります。ただし、すべてのユーザーはアカウントにアクセスする前にパスワードを変更する必要があります。

    次に、LastPass は、電子メールの検証を要求するか、過去に使用されていた IP ブロックを介してユーザーにパスワード変更フォームを入力させることで、ユーザーが本人であることを確認します。言い換えれば、ユーザーが最後にログインした場所から数千マイル離れた IP 範囲からリクエストが送信されている場合、ユーザーは別の検証レイヤーを経由しない限りアクセスを取得できません。

    これが将来に何を意味するか

    LastPass は、Web 上で最大のクラウドベースのパスワード管理ツールの 1 つであり、個人や企業にとって効果的で安全なオプションであることが長年にわたって証明されています。 Mashable は推奨ラストパス過去にはパスワード管理ソリューションとして使用されていました。

    私たちは、LastPass がユーザーに直ちに通知し、新しいマスター パスワードを要求し、電子メール/IP ベースの認証システムを利用するという決定を下したことを賞賛します。

    しかし、そもそもこのような攻撃がなぜ、どのようにして可能になったのか、私たちは依然として懸念しています。 LastPass は、セキュリティ監査では攻撃ベクトルについてあまり洞察が得られないと述べています。この件に関する同社の透明性は賞賛に値するが、実際、透明性は不可欠であるが、それでも問題はある。

    パスワードがクラウドに保存されることにすでに不安を感じているユーザーにとって、残念ながら、この事件によって状況が改善されることはありません。

    私たちはセキュリティの専門家ではありませんが、おそらく LastPass はマスター パスワードが最小限の強度を満たすことを要求することを検討できるかもしれません。パスワード強度メーターはすでに製品に組み込まれています。ユーザーが辞書ベースのブルートフォース攻撃を受けにくいパスワードを使用する必要がある場合、消費者が直面するリスクはもう少し低くなる可能性があります。

    People Who Read This Post Also Like

    Garmin epix GPS ウォッチを史上最安値で獲得しましょう
    Mashable Awards について読むための 31 のリソース
    Nokia N8はSymbianベースの最後のNシリーズスマートフォンとなる
    「アメリカの神々」の神々を崇拝する準備をしましょう
    2023 年のお気に入り TikTokkers
    マリオとモダン・ウォーフェア 2 カタパルト ゲームが記録破りの 12 月に

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    List of Popular

    Recent Posts

    Subscribe Now & Never Miss The Latest Tech Updates!

    Enter your e-mail address and click the Subscribe button to receive great content and coupon codes for amazing discounts.

    Don't Miss Out. Complete the subscription Now.