1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 76
ストーリー by headless
復号 部門より
復号 部門より
LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している
(1Password のブログ記事、
9to5Mac の記事、
The Verge の記事)。
LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。
LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。
LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。
LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。
- 少なくとも 12 文字、長ければ長いほどいい
- 大文字・小文字・数字・記号を使う
- 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
- 自分だけのユニークなものにする
- 個人情報は絶対に使わない
- 好例: Fidoate!my2woolsox
1Password ではこれに対し。12 文字のパスワードにはおよそ 272 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。272 という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。