LastPassがやられてしまったので状況を整理する
しばらく前にこんなことを書いた。
そして今日。
どう対応するべきか、ちょっと考えてみる。LastPassを勧めた記事を書いた手前、このnoteは本来有料マガジン用だが全文無料にする。ただし俺はこの手の分野は完全に素人なので、どこまで適切なことを書けるか分からないが。
実際のところ何が起きたのか。GIGAZINEは少々大げさに書くところがあるので、他ではどのように書かれているか調べる。
平文で盗まれたのは以下である。ユーザーの基本情報が抜かれた形だ。
LastPassでのユーザー名
請求先住所
メールアドレス
電話番号
IPアドレス
暗号化された状態で盗まれたものは、LastPassに覚えさせたもの。
ユーザー名
パスワード
セキュアノート
その他覚えさせたもの
盗まれていないもの。
LastPassのマスターパスワード
LastPassは保存されたパスワードなどをAES 256 暗号化で保護している。マスターパスワード無しで解読しようとした場合、最高の条件でも10~18年かかるらしい。これは一つの暗号化に対してなのだから、マスターパスワード無しで破られることはまず無いと言っていいだろう。
マスターパスワードをブルートフォース攻撃で解読するならどうか。今回は保管庫をまるごとコピーされているので、攻撃者は何度でも繰り返し挑戦することができる。この場合、マスターパスワードがどれくらい強力に作ってあるかで話は変わってくる。
これによれば、数字のみなら即死と言っていい。いろいろ組み合わせていても8文字以下ならダメそうだ。対して12文字以上で小文字と大文字の組み合わせならば、まず破られることはない。LastPassはマスターパスワードについて、以下を推奨している。
最低12文字で長いほど良い
大文字、小文字、数字、特殊文字を使用する
発音しやすく、覚えやすい、しかし簡単に推測されない
自分だけのもの
個人情報は絶対に使用しない
これからを守っていれば、まず突破されることはないのではないか。
しかし今回はLastPassユーザーのメールアドレスまで流出している。そのため、フィッシング詐欺の形でマスターパスワードを盗まれるリスクがある。マスターパスワードがあれば簡単に保管庫は開くのだから、こうなってしまえばもう終わりだ。
故にメールのリンクを踏んで開いたページでLastPassのマスターパスワードを入力するようなことは絶対にしてはならない。これは以前からそうあるべきだが、今はなおさらである。
一方でマスターパスワードを貧弱なものに設定していた人は、すぐに上記のような強力なパスワードに変更するべきである。マスターパスワードを他のサービスでも使いまわしていた人も同様だ。
以上を踏まえた上で、さらに安全性を求めるならば、重要な各サービスのパスワードを変更しておこう。そしてサービスによっては二要素認証を設定しておく。
以下参考になりそうなツイートを貼っておく。
1Passwordに移行した (2022/12/28 追記)
ここから先は
人に対し何かをしてあげるという事は、全て「見返り」を期待しての行為だ。noteのサポートは文章を読むための「見返り」である。