8月、大手パスワード管理サービスの1つであるLastPassは、サーバーがハッキングされたと発表した。
クリスマス休暇中、LastPass について議論しましたそれが実際にどれだけひどい漏れだったのか。
ハッキング当時、LastPass はブログ投稿で、初期調査でハッカーが同社の開発環境にアクセスしたものの、「この事件が顧客データや暗号化されたパスワード保管庫へのアクセスに関与したという証拠はなかった」ことが判明したと述べた。
8 月以来、LastPass はそのブログを 3 回更新しました。 12月22日にリリースされた最新情報では、関与したハッカーが「顧客の保管庫データのバックアップ」にアクセスできたことが明らかになった。
これには、「WebサイトのURLなどの暗号化されていないデータと、Webサイトのユーザー名とパスワード、安全なメモ、フォームに入力されたデータなどの完全に暗号化された機密フィールドの両方」が含まれるとブログ投稿は報告した。
とはいえ、LastPassの投稿では、これらのフィールドは暗号化されたままであり、「ゼロ知識アーキテクチャを使用して各ユーザーのマスターパスワードから派生した一意の暗号化キーでのみ復号化できる」と付け加えている。
LastPass ユーザーのマスター パスワードは会社によって保存または管理されず、会社に知られることもありません。
マッシュ可能な光の速度
ハッカーが LastPass のパスワードやデータに侵入する可能性はありますか?
LastPass は、記号、数字、大文字を含む最低 12 文字のマスター パスワードを使用しますが、ハッカーはブルート フォース攻撃を使用してデータへの侵入を試みる可能性があります。つまり、ソフトウェアを使用して組み合わせが正しくなるまで推測することです。
LastPass は、顧客がマスター パスワードに関するデフォルト設定を使用している場合、「一般に利用可能なパスワード クラッキング技術を使用してマスター パスワードを推測するには何百万年もかかるだろう」と述べています。
しかし、Incによると、お客様は、LastPass を代表する人物がパスワードを要求する電子メールを送信するフィッシング攻撃に注意する必要があります。
LastPass ユーザーはこの侵害に対して何をすべきでしょうか?
LastPass によると、顧客がデフォルト設定を使用している場合、「現時点で実行する必要がある推奨されるアクションはありません」。
ただし、デフォルト設定を使用しない人は、そこに保存されているパスワードの変更を検討する必要があると同サイトは付け加えている。
フィッシング攻撃に関しては、LastPass はパスワード情報を求めるユーザーに電子メールを送信したり連絡したりすることは決してないと述べています。
パスワードマネージャーとは何ですか?
パスワード マネージャーは、オンライン資格情報を 1 つのプログラム内に保存します。これにより、ユーザーは複雑なパスワードを覚える必要がなくなりますが、パスワードを複雑に保つこともできます。
LastPass 以外にも、よく知られているパスワード マネージャーには次のようなものがあります。1パスワード、ビットウォーデン、ダッシュレーンそしてノルドパス。