HOW2.work

ホーム インターネット 安全 LastPass マスター パスワードを変更しない理由

LastPass マスター パスワードを変更しない理由

in
LastPass のネットワーク セキュリティが侵害されたというニュースは、もちろん深刻な問題です。侵害された企業がパスワード管理サービスを提供する企業だったということは、その深刻さを一段階、あるいは十倍に高めます。では、IT セキュリティに関する執筆でキャリアを積んできた私が、なぜ IT セキュリティについて真剣に取り組まないのでしょうか?私には何も問題にならないという事実をはるかに超えて、LastPass の「侵害」は、一部の人にとっては他の人ほど大したことではありません。
LastPass マスター パスワードを変更しない理由
「暗号化されたユーザー保管庫データが盗まれたという証拠も、LastPass ユーザー アカウントがアクセスされたという証拠も見つかりませんでした」と LastPass の広報担当者は語ります。それで、一体何が大騒ぎしているのかと疑問に思うかもしれません – どこにリスクがあるのでしょうか?まあ、私が見たところ、それは二重です。まず、電子メール アドレスとそれに関連するパスワード リマインダーが侵害されているため、偽のマスター パスワード リセット メッセージの形で標的を絞ったフィッシング攻撃が行われることが予想されます。私はそれらに引っかからないようにしたいと思います。
2 番目のリスクに関しては、現在、サーバーのユーザーごとのソルトと認証ハッシュがアクセスされるため、弱いマスター パスワードはブルート フォース クラッキングの試みの対象になります。このようなクラッキングの試みに関して言えば、LastPass がランダム ソルトで認証ハッシュを強化し、サーバー側にさらに 100,000 ラウンドの PBKDF2-SHA256 を投入するという事実により、解読がより困難になります。ただし、マスター パスワードが貧弱な場合は、依然としてブルート フォース攻撃を受ける可能性があります。それを解くにはもう少し時間がかかります。
そこでLastPassは、ほとんどのユーザーにマスターパスワードの変更を強制し、新しいデバイスやIPアドレスからログインするユーザーにはメール認証を求めている。ただし、私はマスター パスワードを変更するつもりはありません。また、442 日間変更していません (ちょっと見てみましょう)。パスワードはランダムであり、複雑で、長さは 25 文字を超え、他では使用されていません。暗記できる。さらに、これは多要素認証という 2 つの魔法の言葉によって裏付けられています。
ブーム!私に関する限り、多要素認証によってバックアップされた強力なマスター パスワードを使用しているため、LastPass ネットワークの周辺部に侵入するためのすべての努力は無駄になります。たとえ私のマスターパスワードが何らかの形で侵害されたとしても、攻撃者は私のパスワード保管庫を復号化するために私の YubiKey (物理トークン) にアクセスする必要があります。これらの「詳細設定」は無料で使用でき、ユーザーはしばらくの間利用できるようになりました。さらに、YubiKey を購入する必要はありません。必要に応じて、Google Authenticator などの無料ダウンロード アプリを使用できます。 2 要素認証 (2FA) が提供されているサイトやサービスで、なぜそれを使用しないのでしょうか?いや、本気で?
高度な設定と言えば、LastPass を使用するとデータが十分に安全であるという確信をもう 1 つ与えるために私が使用しているもう 1 つの設定があり、それは地理的アクセスのロックダウンです。 「国制限」を設定して、パスワード保管庫にアクセスできる国を決定できます。私は海外旅行しない限り、これを英国にロックしておきます。海外旅行の場合は、出発前にその特定の場所を有効にします。ああ、Tor ネットワークからのログインも許可していません。パラノイア、モイ?いや、王国への鍵へのアクセスを制限するのは賢明だ。あなたもそうあるべきです。
LastPass の侵害について私が最も懸念しているのは、奇妙なことに、侵害そのものではなく、それに対する対応です。特に、専門的かつ社会的なメディアのメディアです。 LastPass を開始することに根底にある喜びの感情があり、「そう言った」タイプのレポートがたくさんあるようです。でも、正確には何と言ったのですか?ここで一体何が起こったのでしょうか?私たちが確認できる限り、暗号化されたパスワード データは侵害されておらず、LastPass は非常に透明性を持ってイベントを公開し、ユーザーの信頼をさらに確保するための措置を講じています。
メディア否定派は私たちに何をさせるでしょうか?ペンと紙に戻るか、それともより技術的な「自分で暗号化する」ソリューションでしょうか?私はどちらも提案されているのを見てきましたが、どちらも平均的なジョーのリスクを軽減するものではなく、実際にはその逆です。別のパスワード管理プロバイダーに移行してみてはいかがでしょうか?繰り返しになりますが、侵害を受けた場合ではなく、彼らがどのように反応するかわからない場合、それがどのように役立つでしょうか?少なくとも、侵害への対応に関しては LastPass が全力を尽くしていることはご存知でしょう。
私にとって、ほとんどの人にとってパスワード マネージャーが最も安全なオプションであることに変わりはありません。私の指導に従い、強力なマスター パスワードと多要素認証およびいくつかのログイン ロックダウン オプションを組み合わせれば、人間が可能な限り侵害のリスクを軽減できます。
親愛なる読者の皆さん、これが私がマスター パスワードを変更する必要がない理由です。あるいは私のパスワードマネージャーでも構いません。

「 LastPass マスター パスワードを変更しない理由」に関するベスト動画選定!

【LastPass(ラストパス)】使い方・無料!Android・iPhone の設定について
パスワード管理ツール「LastPass」導入と使い方解説
LastPass のネットワーク セキュリティが侵害されたというニュースは、もちろん深刻な問題です。侵害された企業がパスワード管理サービスを提供する企業だったということは、その深刻さを一段階、あるいは十倍に高めます。では、IT セキュリティに関する執筆でキャリアを積んできた私が、なぜ IT セキュリティについて真剣に取り組まないのでしょうか?私には何も問題にならないという事実をはるかに超えて、LastPass の「侵害」は、一部の人にとっては他の人ほど大したことではありません。
LastPass マスター パスワードを変更しない理由
「暗号化されたユーザー保管庫データが盗まれたという証拠も、LastPass ユーザー アカウントがアクセスされたという証拠も見つかりませんでした」と LastPass の広報担当者は語ります。それで、一体何が大騒ぎしているのかと疑問に思うかもしれません – どこにリスクがあるのでしょうか?まあ、私が見たところ、それは二重です。まず、電子メール アドレスとそれに関連するパスワード リマインダーが侵害されているため、偽のマスター パスワード リセット メッセージの形で標的を絞ったフィッシング攻撃が行われることが予想されます。私はそれらに引っかからないようにしたいと思います。
2 番目のリスクに関しては、現在、サーバーのユーザーごとのソルトと認証ハッシュがアクセスされるため、弱いマスター パスワードはブルート フォース クラッキングの試みの対象になります。このようなクラッキングの試みに関して言えば、LastPass がランダム ソルトで認証ハッシュを強化し、サーバー側にさらに 100,000 ラウンドの PBKDF2-SHA256 を投入するという事実により、解読がより困難になります。ただし、マスター パスワードが貧弱な場合は、依然としてブルート フォース攻撃を受ける可能性があります。それを解くにはもう少し時間がかかります。
そこでLastPassは、ほとんどのユーザーにマスターパスワードの変更を強制し、新しいデバイスやIPアドレスからログインするユーザーにはメール認証を求めている。ただし、私はマスター パスワードを変更するつもりはありません。また、442 日間変更していません (ちょっと見てみましょう)。パスワードはランダムであり、複雑で、長さは 25 文字を超え、他では使用されていません。暗記できる。さらに、これは多要素認証という 2 つの魔法の言葉によって裏付けられています。
ブーム!私に関する限り、多要素認証によってバックアップされた強力なマスター パスワードを使用しているため、LastPass ネットワークの周辺部に侵入するためのすべての努力は無駄になります。たとえ私のマスターパスワードが何らかの形で侵害されたとしても、攻撃者は私のパスワード保管庫を復号化するために私の YubiKey (物理トークン) にアクセスする必要があります。これらの「詳細設定」は無料で使用でき、ユーザーはしばらくの間利用できるようになりました。さらに、YubiKey を購入する必要はありません。必要に応じて、Google Authenticator などの無料ダウンロード アプリを使用できます。 2 要素認証 (2FA) が提供されているサイトやサービスで、なぜそれを使用しないのでしょうか?いや、本気で?
高度な設定と言えば、LastPass を使用するとデータが十分に安全であるという確信をもう 1 つ与えるために私が使用しているもう 1 つの設定があり、それは地理的アクセスのロックダウンです。 「国制限」を設定して、パスワード保管庫にアクセスできる国を決定できます。私は海外旅行しない限り、これを英国にロックしておきます。海外旅行の場合は、出発前にその特定の場所を有効にします。ああ、Tor ネットワークからのログインも許可していません。パラノイア、モイ?いや、王国への鍵へのアクセスを制限するのは賢明だ。あなたもそうあるべきです。
LastPass の侵害について私が最も懸念しているのは、奇妙なことに、侵害そのものではなく、それに対する対応です。特に、専門的かつ社会的なメディアのメディアです。 LastPass を開始することに根底にある喜びの感情があり、「そう言った」タイプのレポートがたくさんあるようです。でも、正確には何と言ったのですか?ここで一体何が起こったのでしょうか?私たちが確認できる限り、暗号化されたパスワード データは侵害されておらず、LastPass は非常に透明性を持ってイベントを公開し、ユーザーの信頼をさらに確保するための措置を講じています。
メディア否定派は私たちに何をさせるでしょうか?ペンと紙に戻るか、それともより技術的な「自分で暗号化する」ソリューションでしょうか?私はどちらも提案されているのを見てきましたが、どちらも平均的なジョーのリスクを軽減するものではなく、実際にはその逆です。別のパスワード管理プロバイダーに移行してみてはいかがでしょうか?繰り返しになりますが、侵害を受けた場合ではなく、彼らがどのように反応するかわからない場合、それがどのように役立つでしょうか?少なくとも、侵害への対応に関しては LastPass が全力を尽くしていることはご存知でしょう。
私にとって、ほとんどの人にとってパスワード マネージャーが最も安全なオプションであることに変わりはありません。私の指導に従い、強力なマスター パスワードと多要素認証およびいくつかのログイン ロックダウン オプションを組み合わせれば、人間が可能な限り侵害のリスクを軽減できます。
親愛なる読者の皆さん、これが私がマスター パスワードを変更する必要がない理由です。あるいは私のパスワードマネージャーでも構いません。

「 LastPass マスター パスワードを変更しない理由」に関するベスト動画選定!

【LastPass(ラストパス)】使い方・無料!Android・iPhone の設定について
パスワード管理ツール「LastPass」導入と使い方解説

最新記事一覧