クリスマス直前、LastPassはセキュリティ侵害に関する最新情報を発表し、ハッカーが顧客の金庫にアクセスしたというニュースも発表しました。あるセキュリティ研究者は、同社の主張を徹底的に検証した結果、状況は同社の主張よりもはるかに深刻であり、同社の声明は「情報不足、半端な真実、そして完全な嘘に満ちている」と述べています。

Wladimir Palant 氏は自身のセキュリティ ブログ Almost Secure (TechMeme 経由) で、セキュリティ侵害に関する LastPass アップデートの 14 件の異なる記述を批判しました。

パラント氏は、同社の透明性の主張から自社のセキュリティ対策などあらゆることを考慮に入れ、ラストパスがリスクを軽視し「重大な過失」を犯したと考えている。

問題となっている主張の一つは、LastPassが顧客に対し「上記のデフォルト設定を使用すると、一般に利用可能なパスワード解読技術を使用してマスターパスワードを推測するには数百万年かかるでしょう」と伝えている点だ。

パラント氏は、平均的な人にとっては「数百万年」ではなく、おそらく2か月に近いだろうと述べている。

直訳すると「すべてを正しく行えば、何も起こりません」となります。これもまた、顧客を責める材料となります。「最新のパスワードクラッキング技術をテストする」ような人なら、そんなことは分かっているはずです。私の計算によると、彼らの複雑さの基準を満たす、真にランダムなパスワードを推測するのに、グラフィックカード1枚で平均100万年もかかりません。

しかし、人間が選んだパスワードはランダムとは程遠いものです。ほとんどの人は、真にランダムな12文字のパスワードを覚えることさえ困難です。以前の調査によると、平均的なパスワードのエントロピーは40ビットでした。このようなパスワードは、同じグラフィックカードを使っても2ヶ月強で推測されてしまいます。エントロピーが50ビットという非常に強力なパスワードでさえ、平均200年かかります。これは、誰かがハードウェアを追加投入するような高価値なターゲットとしては、非現実的な数字ではありません。

LastPass を使用したことがあり、まだ使用していない場合は、すべてのパスワードを変更するのが最も安全な方法です。

Palant のブログ記事全文で、LastPass のセキュリティ侵害で提起されたすべての問題を確認してください。

Apple デバイスの AutoFill/iCloud キーチェーンを使用してパスワードを保存するための設定方法についても説明します。

• Safariのオートフィル機能を使ってiPhoneとiPadでパスワードを管理する方法

havebin.com を Google ニュース フィードに追加します。