/cdn.vox-cdn.com/uploads/chorus_asset/file/23318433/akrales_220309_4977_0182.jpg)
先週、クリスマスの直前に、LastPass は衝撃的な発表を行いました。8 月の侵害が 11 月の別の侵害につながった結果、ハッカーがユーザーのパスワード保管庫を手に入れたのです。 同社はログイン情報は依然として安全だと主張しているが、一部のサイバーセキュリティ専門家は強く批判している そのポスト、人々が実際よりも安全だと感じる可能性があると述べ、これはパスワードマネージャーを信頼するのを難しくする一連の事件の最新のものであると指摘しています.
LastPass の 12 月 22 日の声明は、「省略、半分の真実、あからさまな嘘に満ちていた」と書かれています。 ウラジミール・パラントのブログ投稿、とりわけ AdBlock Pro の開発を支援したことで知られるセキュリティ研究者。 彼の批判のいくつかは、会社が事件をどのように組み立てたか、そしてそれがどれほど透明であるかを扱っています。 彼は、LastPass が「一部のソース コードと技術情報が盗まれた」と述べた 8 月の事件を別の侵害として描写しようとしたことで会社を非難し、実際には同社は侵害を「封じ込めることができなかった」と述べています。
「『知識ゼロ』という LastPass の主張は、ありふれた嘘です。」
彼はまた、漏えいしたデータに「顧客が LastPass サービスにアクセスしていた IP アドレス」が含まれていたことを LastPass が認めたことを強調し、LastPass が使用したすべての IP アドレスをログに記録していた場合、攻撃者は顧客の「完全な移動プロファイルを作成」できる可能性があると述べています。そのサービスで。
別のセキュリティ研究者である Jeremi Gosney は次のように書いています。 マストドンの長い記事 別のパスワード マネージャーに移行することをお勧めします。 「『知識ゼロ』という LastPass の主張は、ありきたりの嘘です」と彼は言い、同社には「パスワード マネージャーがおそらく回避できる程度の知識がある」と主張しています。
LastPass は、ハッカーが盗まれた保管庫のロックを解除するために必要なマスター パスワードに会社がアクセスできないため、その「ゼロ ナレッジ」アーキテクチャがユーザーを安全に保つと主張しています。 ゴズニーはその特定の点に異議を唱えていませんが、このフレーズは誤解を招くと言っています. 「ほとんどの人は、ボールトをファイル全体が保護される暗号化されたデータベースのようなものだと思い込んでいると思いますが、そうではありません。LastPass では、ボールトはプレーンテキスト ファイルであり、いくつかの選択フィールドのみが暗号化されます。」
Palant はまた、ハッカーがマスター パスワードをクラックできない場合にのみ、暗号化が役立つことを指摘しています。これは、LastPass の投稿での主な防御策です。 「一般に利用可能なパスワード解読技術を使用してマスター パスワードを推測するには、何百万年もかかるでしょう」と、同社の CEO である Karim Toubba は書いています。
「これは、顧客を非難するための土台を準備するものです」と Palant は書いています。 意思 少なくとも一部の顧客のために復号化されます。 そして、彼らはすでに便利な説明をしています。これらの顧客は明らかにベスト プラクティスに従っていませんでした。」 ただし、LastPass がこれらの基準を必ずしも強制しているとは限らないことも指摘しています。 2018 年に 12 文字のパスワードがデフォルトになったという事実にもかかわらず、Palant 氏は、「8 文字のパスワードを使用しても、警告や変更を促すメッセージなしでログインできます」と述べています。
「彼らは本質的にすべての「crypto 101」の罪を犯しています」
Gosney と Palant はどちらも、LastPass の実際の暗号化についても異議を唱えていますが、理由は異なります。 Gosney 氏は、暗号化の実装方法と、デバイスのメモリに読み込まれたデータの管理方法に関して、基本的に「すべての「crypto 101」罪」を犯していると同社を非難しています。
一方、Palant は、PBKDF2 として知られるパスワード強化アルゴリズムを「通常よりも強力」と表現した同社の投稿を批判しています。 この標準の背後にある考え方は、推測ごとに一定数の計算を実行する必要があるため、パスワードをブルート フォースで推測することを難しくするというものです。 Palant 氏は次のように書いています。
別の人気のあるパスワード マネージャーである Bitwarden は、 そのアプリは 100,001 回の反復を使用すると述べています、パスワードがサーバーに保存されると、合計 200,001 の反復がさらに 100,000 回追加されます。 1Password によると 100,000 回の反復を使用しますが、その暗号化方式により、データのロックを解除するには秘密鍵とマスター パスワードの両方が必要になります。 Gosney 氏によると、この機能により、「誰かがボールトのコピーを取得した場合、マスター パスワードだけではアクセスできないため、クラックできなくなります」とのことです。
Palant はまた、LastPass が常にそのレベルのセキュリティを備えているとは限らず、古いアカウントの反復回数は 5,000 回以下である可能性があることも指摘しています。 ザ・バージ 先週確認されました。 これは、8 文字のパスワードを使用できるという事実に加えて、マスター パスワードを解読するのに何百万年もかかるという LastPass の主張を真剣に受け止めることを難しくしています. それが新しいアカウントを設定した人に当てはまるとしても、ソフトウェアを何年も使用している人はどうですか? LastPass が警告を発したり、より良い設定へのアップグレードを強制したりしていない場合 (Palant の場合はそうではないと述べています)、その「デフォルト」は、ユーザーがどの程度心配しているかを示す指標として必ずしも有用ではありません。
もう 1 つの問題点は、LastPass が持っているという事実です。 長年、URL などのデータを暗号化するよう求める嘆願を無視しました。 Palant は、人々がどこにアカウントを持っているかを知ることは、ハッカーが特に個人を標的にするのに役立つ可能性があると指摘しています。 「脅威アクターは 愛 何にアクセスできるかを知るために。 そうすれば、努力する価値のある人だけを対象に、ターゲットを絞ったフィッシング メールを作成することができます」と彼は書いています。 彼はまた、LastPass に保存された URL が意図したよりも多くのアクセスをユーザーに与える場合があることを指摘し、パスワード リセット リンクの有効期限が適切に切れていない例を挙げています。
プライバシーの角度もあります。 あなたは言うことができます 多く 使用する Web サイトに基づいて、個人について。 ニッチなポルノ サイトのアカウント情報を保存するために LastPass を使用していたとしたらどうでしょうか? ユーティリティ プロバイダーのアカウントに基づいて、誰かがあなたが住んでいる地域を特定できますか? ゲイの出会い系アプリを使用しているという情報は、あなたの自由や命を危険にさらしますか?
Gosney と Palant を含む数人のセキュリティ専門家が同意しているように見えることの 1 つは、この侵害が、クラウドベースのパスワード マネージャーが悪い考えであるという明確な証拠ではないという事実です。 これは、完全にオフラインのパスワード マネージャーの利点を広めている人々 (または、あるコメント投稿者が示唆しているように、ランダムに生成されたパスワードをノートに書き留めているだけ) に応えているようです。 もちろん、このアプローチには明らかなメリットがあります。 数百万人のパスワードを保存 個人のコンピューターよりもハッカーの注目を集めることになり、クラウド上にないものに到達することははるかに困難になります。
しかし、あなたがあなた自身の銀行になるという仮想通貨の約束のように、あなた自身のパスワードマネージャーを実行することは、人々が認識しているよりも多くの課題を伴う可能性があります. ハード ドライブのクラッシュや別の事故によってボールトを失うと、破滅的な事態になる可能性がありますが、バックアップすると盗難に遭いやすくなるリスクがあります。 (そして、パスワードをアップロードしないように自動クラウド バックアップ ソフトウェアに指示することを覚えていましたか?) さらに、デバイス間でオフライン ボルトを同期することは、控えめに言っても、少し面倒です。
このすべてについて人々が何をすべきかについて、Palant と Gosney の両方が少なくとも別のパスワード マネージャーへの切り替えを検討することを推奨しています。 同社の 7 回目のセキュリティ インシデント 10年ちょっとで。 Gosney 氏は次のように書いています。ハプニング。 (同社の投稿には、「さらなる不正行為を検出するのに役立つ追加のログ記録と警告機能が追加された」と書かれています。)
LastPass は、この違反の後、ほとんどのユーザーは自分自身を保護するために何もする必要はないと述べています. Palant 氏は、勧告を「重大な過失」と呼んで反対しています。 代わりに、単純なマスターパスワードを使用し、反復回数が少ない人は誰でも (確認方法は次のとおりです)、または潜在的に「価値の高い標的」となる可能性のある人は、すべてのパスワードをすぐに変更することを検討する必要があります。
それは休暇中に行うのが最も楽しいことですか? いいえ。しかし、盗まれたパスワードで誰かがあなたのアカウントにアクセスした後、クリーンアップすることもできません。