パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

パスワード管理サービスを提供する米LastPass、攻撃を受けて暗号化されたマスターパスワードなどを流出」記事へのコメント

  • クラウド同期機能が付いたパスワード管理サービスを安全に提供するためには、「マスターパスフレーズ」と「ログインパスワード」を分離することが必須です。

    マスターパスフレーズ
    管理対象のパスワードを暗号化する際に使用するパスフレーズ。
    管理対象の暗号化されたパスワードを復号(パスワード管理アプリを利用する)する際に毎回入力する。
    利便性を高めるためにやむを得ない場合には、端末の揮発性メモリにのみ一定時間記憶する。
    サーバには送信されないので、パスワード管理サービス提供会社も確認することができない。

    ログインパスワード
    クラウドサ

    • LastPass社の説明とは食い違いますね。

      ユーザがマスターパスワード(彼らはこの用語を使っている。)を忘れたらどうするべきか。彼らは "LastPass is never sent your Master Password, so we can't send it to you or reset it for you." という1文の後に以下のような内容を記載しています。
      ・ ヒントを見て思い出す。
      ・ 一度ログインしたことのあるブラウザがあるなら、ローカルに保存されているワンタイムパスワードを使ってアカウント回復ページにログインしてみる。
      ・ 過去90日以内にマスターパスワードを変更している場合、元に戻す操作が可能。但し、それをしたらパスワード変更後に記録した内容は失われる。
      ・ それでだめならアカウント消去して作り直すしかない。

      つまり、彼らが嘘をついていなければ、受け取っているのはログインパスワード(=マスターパスワード)のハッシュだけであるはずです。

      この仕組みなら絶対安全だとは言いませんが(ローカル側でクラックされたら終わりだし)、少なくとも思い込みだけで平文のマスターパスワード漏洩の危険について言及するのは良くないと思いますよ。

      親コメント
      • by Anonymous Coward

        保存データを復号化するパスワードはハッシュだけでも受けとったら駄目でしょ。
        保存データと復号鍵がサーバ側で揃えられたら、攻撃方法によっては保存データを盗み出せてしまう。
        ログインのために送信するのはN+M回ハッシュした値で、
        データの復号化はクライアント側で保持しているN回ハッシュした値で行うとかなら大丈夫かも知れないけど。

        • 先に引用したように、"so we can't send it to you or reset it for you."なんですよ。
          彼らはマスターパスワードを送ることもできなければリセットもできない、つまり彼らの持っている情報では復号も不可能だってこと。
          (復号できれば当然リセットできるので。)
          あくまで彼らが嘘をついていなければ、だけど。

          もう一度言います。欠点を探したり指摘したりするのはいいことだと思いますが、事実に基づかない批判はいかがかと。

          ついでにもう一言。繰り返しますが、親コメを以ってこのサービスが安全だと言い切っているわけではないので誤解なきよう。

          親コメント
        • by Anonymous Coward

          LastPassはそのN+M回ハッシュしたものを送って認証する方式らしいので、サーバ側に送られる情報で保存データを復号化される心配は無いみたいですね。
          クライアントプログラムをアップデートで改竄されたらどうしようもないでしょうが。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...