https://gigazine.net/news/20221223-lastpass-password-hacking/
パスワード管理アプリ Last Pass に登録していたユーザーの
個人情報やパスワードなどが漏洩していた模様です。
クラウドストレージにパスワードを保存することで、
いつでもどこでも各種パスワードを自動的に入力してくれるのが Last Pass のウリでした。
GoogleやAppleでも同様のサービスを行っていますけれど、
こっちは大丈夫なんでしょうかね。
重要なパスワードに限ってはローカル管理の方が良いと思うのですけれど、
最近は何でもクラウドですよね・・・。
https://gigazine.net/news/20220826-lastpass-stolen-source-code/
https://gigazine.net/news/20221201-lastpass-hackers-accessed-customer-data/
そもそもLast Passに関してはこんな流れです。
ソースコードが流出する
→ユーザーデータに不正アクセスされる。でも暗号化してるから大丈夫と発表
→→情報漏洩してました *今回
ソースコード流出の時点でもう遅いかもしれませんけれど、
パスワード管理ソフトを乗り換えると同時に無数のパスワードを変更するとなると
手間も時間も掛かって大変ですね。
コメント
どっかで最強のパス管理ツールだって聞いて信じていたのに・・・
keepass派のワイ高みの見物
オラedgeに丸投げ派
何年か前にBitwardenに引っ越してて正解だった
keepass派 ローカルだと全部自己責任にできて良いんだよね
なんかあったとき他者の責任追及しててもどうしようもないからね
仮にもセキュリティを扱ってる企業ならリスクは正しく把握して公表しろや
たぶん大丈夫です!→やっぱダメでした! っ絶対ダメなやつだろ
こういうのひとつとってもロクでもない企業なんだなってわかる
一企業にそれは酷なんじゃないですかねぇ
どっかの国はガバメントクラウドを他国に委ね
おかしな徴税システムで得た公金を湯水のごとく商業イベに使い
さらに軍備を2倍にと息巻いて増税を謳い
表向き敵と煽り実はその隣国カルトに公金を横流し見返りに集票を行い
記憶がないといえばそれでなかったことになるのに比べたら
まだましですよw ダメなのはそれを選んでしまうということじゃないですかね(自戒)
Lastpassがデバイス制限付けた辺りで使うのやめて別のサービスに移行したけど、それまでのパスが流出してるなら結局主要な奴は全部変える必要があるな…
改めてGigazineから元ソース記事を改めて読んだら結構記事内容と違ってた、そういうとこだぞGigazine
✕:パスワードが漏れた
◯:暗号化状態のマスターパスワードと暗号化された保管庫データが漏れた
デフォ設定だとマスターパスワードは12文字以上になるので復号化は数百年掛かって現実的ではないため、一応安全。
逆にデフォ設定から外れてマスターパスワードを短く設定してたなら復号化の時間が大幅に短縮されるので危険。
マスターパスワードはLastpass自身でさえ知る手段がなく、処理部分が優秀だったおかげでファイルは持ってかれたけど、復号化はまずできないからギリギリ助かったって報告だった。
それはそれとして一度でも漏らしたパスワード管理サービスを利用するかってなると…