LastPassのハッキング、情報流出に思う
日本年金機構、東京商工会議所など続々と「標的型ウイルスメールで情報流出の可能性が」と日夜話題になっているが、それと今回のLastPassはまた別の話し。前者は使う人間の問題だし…
LastPassとは
「そもそもLastPassとは何か?」からと言えば「ネット上のありとあらゆるアカウント情報をクラウドと連携して管理してくれるサービス」。
LastPass | Password Manager, Auto Form Filler, Random Password Generator & Secure Digital Wallet App
アカウントを作る→いつものでいいや
Facebook、YouTube(Google)、Twtter、アマゾン、ネットバンキング等などネットをしていると、ありとあらゆる場所でアカウントの作成を求められる。すると、どうしてもサービスごとに覚えるのが億劫でセキュリティ上好ましくないとはわかっていても同じIDとパスワードを使ってしまう。だが、サイトによってパスワードが数字だけでも可、英数字必須、英数字記号必須の8文字以上など条件が様々で、同じIDとパスワードを使い回すことにも無理が出てくる。覚えられないからと手帳やメモに書くなんて愚行はもってのほか…
そこで、このLastPassで一度ログインしたサイトの情報を保存しておけば、ユーザが次回以降そのサイトにアクセスすれば自動的にログインした状態となる。
セキュアなパスワードの生成も
また、新しくアカウントを作る時にセキュアなパスワードを生成してくれるので、よくある【名前+誕生日】や【abc123】のようなパスワードではなく、辞書攻撃では破れないパスワードの使用が可能になる上に自身で覚える必要は一切ない。
あえて、覚える必要があるとすればこのLastPassのマスターパスワードだけである。
※マスターパスワードも忘れた場合には再発行が可能
パソコン、スマホ、タブレットでも使える
パソコンやスマホ、タブレット(Android/iOS)で使用可能でパソコンであればGoogle Chrome、FireFox、Opera、Safari、IEなどのブラウザでアドイン(拡張機能)として使用できる。
ただ、スマホ用に関しては2週間のトライアル期間の後、プレミアム版(年間12ドル)にする必要があるので、個人的にはまだフリー版のパソコンだけで使っており、パスワードはGoogle Chromeの保存機能も併せて使っているので不便はしていないが、正直12ドル払う価値は十分にあると思う。
LastPass Password Manager - Google Play の Android アプリ
LastPassへのハッキング、情報流出
このLastPassはもう何年も前から使っており、50以上のサイトのアカウント情報が管理されていて、既にパスワードを何に設定したか有耶無耶なサイトもチラホラ。
そんな中でこのニュースが流れた。
流出したのはアカウントの電子メールアドレスやパスワードリマインダー、ユーザーごとのソルト、認証ハッシュなど
このサービスは各サイトのアカウント情報をLastPassのサーバに預ける仕組みの為に、一瞬ヒヤッとしたが流出情報にはユーザのパスワード保管庫は含まれていないようで一安心。そもそも仕組みとしては、端末で暗号化と解読をするのでLastPass側でもユーザのアカウント情報を覗くことは出来ないようになっている。
それが今回は保管庫でもなければマスターパスワードでもはなく、認証ハッシュが漏れただけで、既に念の為にマスターパスワードを変更しているので今回の被害はゼロだったと言えるだろう。
ここもある通り、完璧(100%安全な)なセキュリティは存在しないが、LastPassは限りなく安全なことはこのサービスの仕組みが分かればわかると思う。
最後に
LastPassを使えばIDやパスワードを覚える必要がないだけではなく、万が一デバイスを紛失した時に全てのサイトのパスワードを変更しなくても、このLastPassのマスターパスワードだけを変更すればいい。
それに、電車やバスでの通勤中やカフェなんかの人が多い所でログインする時は、盗み見されるリスクは非常に高いので自動的にログインする機能は有効だと思われる。
LastPassを使っていれば100%安全であるとは言えないが、現時点においてはユーザが脳内で覚えるよりは限りなくセキュアなツールとなるのは間違いない。