パスワードを忘れた? アカウント作成
21552860 story
暗号

LastPass、12文字以上のマスターパスワードを義務付け開始 47

ストーリー by headless
義務 部門より
LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した (The LastPass Blog の記事Bleeping Computer の記事The Verge の記事)。

LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。
  • サイトごとにパスワードを変えましょうという話をするときに、一緒に話すことが多いのですが、長いパスワードは分割して分けて管理をお勧めしています。

    受け入れてもらいやすいのは100均等で販売されているパスワード帳に、サイト毎に異なる6〜8桁のランダムなパスワード前半を記録し、それとは別に全サイトで共通のパスワード後半を記憶しておく、というものです。

    サイト毎に異なるパスワードを暗記するのはとても困難ですが、パスワードを紙に書いてはいけませんというリテラシー教育はかなり普及しているので、ただパスワード帳に書きましょうと言っても抵抗があります。紙面の記録+暗記の語句なら、パスワード帳を置き忘れたり落としたりして盗み見られた時のリスクを下げることができます、と説明しています。

    また紙面のランダムなパスワードも10字を超えると入力するときの労力も大きいので、これを低減することにも繋がります。

    暗記する後半も3〜4文字の語句を二つ連結して7字程度にすることを勧めています。
    自分の使用する範囲の100サイト弱では 95%以上で 14文字のパスワードが使えるので、連結して 14文字を推奨。

    マスターパスワードも長いに越したことはありませんが、全部を暗記せずに一部を書いておいても良いと思います。

    また、LastPass の安全性も絶対確実なものではありませんから、保管されているサイト毎のパスワードも、それに自分だけが知っている共通の後半部分を追加(もしくは置き換え)することで、安全性を高めることができます。

    # と言いながら自分では自作ツールのみだったりする…

    ここに返信
    • by Anonymous Coward

      パスワード文字種別しばりがうざい
      英大文字、英小文字、数字しか使えない
      英大小数記号全て使わないといけない
      記号も使えるものと使えないものが指定されたり
      何文字以上、何文字以下しか西紀しない、何文字ぴったり
      とか

  • by Anonymous Coward on 2024年01月06日 22時28分 (#4590040)

    普通にパスワードを作って
    2回繰り返す

    ここに返信
  • by Anonymous Coward on 2024年01月07日 0時09分 (#4590058)

    1Passwordはデータを
    ・ユーザーが決めたパスワード
    ・シークレットキー(アカウントセットアップ時に生成される128ビットの乱数列)
    を繋げたキーで暗号化している。
    サーバー側には暗号化されたデータしか保持していないし、シークレットキーはサーバー側に送信されない(はず)。
    常にクライアント側で復号するようになってる。
    アプリやWebサイトが改竄されて両方セットで盗まれたらどうしようもないが、システムに侵入されただけで一発アウトということにはならない。
    パスワードからクレカ番号に至るまで全部預けるにはこれぐらいやってほしい。

    ここに返信
    • by Anonymous Coward on 2024年01月07日 1時01分 (#4590066)

      8文字以上だったのを12文字以上に義務付けって対応に筋悪感があるんだよな。
      マスターパスワードの変更強制は既存ユーザーの手間が割と大きいのだから、
      手間のかかる事をさせるならそれに見合う抜本的に効果のある対応が期待されるけど、
      文字数増やしても総当たり攻撃の耐性が高まる効果しかない。

      • by Anonymous Coward

        総当たり攻撃に対してほどほどに耐性があるパスワードを使ってさえいればそうそう破られません。安易なパスワードを使っている人がいっぱいいるので、クラッカーは先にそっちを破るのを優先してくれるます。強いパスワードを破るまで総当たりしたりしません。

        以前,*ランダム*な12文字であれば、総当たりするのに最速のコンピュータでも3年ぐらいはかかるって計算したことがあります。ランダムでありさえすれば12文字ぐらいでも程々に強いので十分だとワタシは思います。

        • by Anonymous Coward

          全員が12文字以上なので、12文字で安易なパスワードを使ってる人をクラッカーは優先してくれますよね。

          • by Anonymous Coward

            クラッカーは「12文字で安易なパスワードを使ってる人」をどうやって探し出すのだろう…

            • by Anonymous Coward
              安易なパスワードの候補の辞書をあらかじめ作っておいて、それを順番に試します。
              あんまり根拠ないけど、多分、100単語ぐらいの辞書を作っておけば100人に一人ぐらいは当りますよ。(パスワードスプレー攻撃)
              クラッカーの目的が経済的利益なら、何人か破れたヤツから金を盗めばいいので、敗れなかった他のアカウントを破るために時間かけたりしません。
            • by Anonymous Coward

              探し出す必要ありません。
              多数のユーザに対して12文字で安易なパスワードを試せば、脆弱なパスワードを使用している人が見つかります。
              同じ回数なら一人のユーザに対して10万回試行するのではなく、10万ユーザに対して1回試行すればいいのです。

              • by Anonymous Coward

                それは「12文字で安易なパスワードを使ってる人をクラッカーは優先」とは違うアプローチじゃないですか

    • by Anonymous Coward on 2024年01月07日 10時56分 (#4590107)

      シークレットキーがサーバー側に送信されないなら、ローカルのデータを削除したり失ったら、パスワード覚えていてもパスワードを復元できなくならない?

      ユーザーがシークレットキーの存在を認識していて、バックアップ取っていれば別だけど。
      複数クライアントがある場合、どうやってシークレットキーを同期させるのか、という問題もあるし。

      • by Anonymous Coward on 2024年01月07日 21時06分 (#4590254)

        > ローカルのデータを削除したり失ったら、パスワード覚えていてもパスワードを復元できなくならない?
        その通りです。
        アカウントセットアップ時にシークレットキーが提示されて、必ずこれをメモするか印刷するかしておけ、と言われます。
        (任意のタイミングで別の値にリセットすることは可能)
        このシークレットキーはアプリの初回起動時に入力すると永続的に記憶されるようになっているので
        普段ユーザーが使うのはマスターパスワードだけですが、
        もちろんデバイス間で同期はされないので複数デバイスで利用する際は個別に入力しなければなりません。

        • by Anonymous Coward

          なるほど。
          確かに、これなら問題ない。

      • by Anonymous Coward

        1passwordで全く新しいデバイスのログインに必要な情報は以下の3つ。
        ・メールアドレス
        ・シークレットキー(306E5514-BC07-A381-5140-C4A0EF392983 の様な、充分に長いランダムな文字列の組み合わせ)
        ・ユーザーが入力するパスワード(ユーザーが決める事ができる文字列。短くても問題ない)

        で、新しいPCで最初にログインする時は3つ全部必要。
        それ以降は(同じPC、ブラウザなら)ユーザーが入力するパスワードだけでログインできる。
        本質的なパスワードはシークレットキーとユーザーが入力するパスワードを組み合わせた文字列って事なんだろうな。
        これならユーザーが入力するパスワードが短くてもシークレットキーで一定数の長さ ランダムさが確約される。

  • by Anonymous Coward on 2024年01月06日 21時02分 (#4590021)

    面倒(覚えられない)なので8桁や4桁くらいパスワードを使いまわしている人間が
    複数のパスワードを一括管理するために仕方がなく12桁のパスワードを暗記するのか?ということ

    まぁ、仕方がないから12桁のパスワードを作ったとして、それをどこぞにメモしたりとか
    矛盾が生じるだろうな

    ここに返信
    • by Anonymous Coward

      >それをどこぞにメモしたりとか矛盾が生じるだろうな
      いつの時代の話をしている。

      インターネット時代ならメモを取るのは良い習慣だぞ?
      問題はそのメモをきちんと管理することだけ。
      金庫に入れたり、財布に入れたりするくらいでほぼOK。

      #パスワードも他人に推測しにくければなんでもいいので、
      #感心したのは「元カノの電話番号」だったな。

      • by Anonymous Coward on 2024年01月07日 0時21分 (#4590061)

        僕はその時その時のセフレの名前にしているが、久しぶりにアクセスするサイトやアプリだと、あの時はどのセフレだったっけ、と思い出せなくなることがあった。聞くわけにもいかないし。。。

        • by Anonymous Coward

          辞書攻撃に弱そう

          • by Anonymous Coward

            慶子、早苗、芳子。。。
            Kelly、Mary、Amanda。。。
            太郎、真一、和夫、Neal。。。
            ポチ

            • by Anonymous Coward

              犬をセフレにしたこともあるってこと?

      • by Anonymous Coward

        電話番号、覚えてますかね…

      • by Anonymous Coward

        > #感心したのは「元カノの電話番号」だったな。

        いつの時代の話をしている

    • by Anonymous Coward

      2FA必須にする方が筋は良いと思うんだがねぇ

    • by Anonymous Coward
      みんなやらずに「面倒」言ってるんですよね。
      マスターパスワードなんて毎日何度も入力するので、ランダムでも12文字ぐらいなら憶えられますよ。
  • おまえらLastPassがもう金輪際、クラックされパスワード保管庫を丸ごとコピーされたりすることのないよう確約してもらう方が先。

    どれだけ長いマスターパスワードを作ったところで、その鍵をかけたブツが丸ごと盗まれてしまうようでは無意味。

    したり顔して「12文字以上のマスターパスワードを義務付け」とかいって、いざパスワード保管庫が盗まれても割られにくいパスワードの作成をユーザ側に求めてる場合じゃない。

    ここに返信
    • by Anonymous Coward

      で、LastPassが盗まれせんと言ったとして信用できますかね?イワシの頭より?

    • by Anonymous Coward

      そんな確実に不可能なこと求めてなにか意味でも?
      LastPassどころか全世界のメーカーで見ても不可能でしょ、それ。

      こういう無意味な完璧主義が停滞を招くんだよなぁ。

      • by Anonymous Coward

        とはいえ、2022年8月のソースコード漏洩後、その漏洩した情報を足がかりにして利用者のパスワードを含む個人情報漏洩を盗まれたりしてる [gigazine.net] ので、「もうええ加減にせぇよ」と思うのは仕方のないことかと思います。

        • by Anonymous Coward

          「もうええ加減にせぇよ」と思うのは当然だと思いますけど、だからといって確実に不可能な「確約」を求めてどうなります?
          理論的には「そんなことできません」としかならないんですけど、客のために「できる」と言わせるんですか?
          それとも確約できないなら会社畳めとでも? そんなことになればますます「失態は隠せ」が当たり前の社会になってゆきますが。

          • by Anonymous Coward

            Aを要求するならBが先だという表現は、Bをしろという意味ではなく、Aを要求するなという意味の婉曲表現ですよ。
            #こんな解説必要なのかと思いつつ念の為

        • by Anonymous Coward

          まぁパスワードデータを漏らした時点で使うのをやめるべきだよね。信用・信頼性がすべてでしょ、これ系のサービスは。
          1passwordとか他にもいろいろあるんだし、こんなリスキーなサービスを継続利用するユーザーの方がどうかしてる。

  • タイトルのとおり
    ログインを必要とする各サービスがログイン方法の変更から
    ユーザーが指定するOAuth認証サーバーを自由に設定できるようにしてくれれば良い
    大手のgoogleやamazonなどには対応しているけど、小規模サービスや個人運営の自鯖のOAuthは使用できないからなぁ。

    複数のパスワードを作ったり・覚えたりすることが難しいから、今回のアカウント管理サービスが台頭したのだろうけど、
    実際に漏洩する時には、有名どころっていうのが相場で、しかも限られているとなればなおさら大規模なものとなる。

    そうすると、自分の手元で一元管理したくなる。ただ、複数のパスワードを覚えたくないとなるとOAuth鯖しかなくなる。
    自分の場合、SMTP鯖建ててアカウント登録・回復用メールアドレスにしていて、OAuth認証鯖も建てているるので、
    OAuth認証先を選択できれば、自前の鯖とアカウントで完結する事ができる。

    当然、メールアドレスやOAuth鯖の存在は、ログインを必要とする各サービス以外に誰にも知られることはないので、
    OAuth用のパスワードを指紋認証にでも変えておけば、自分の端末以外からのアクセスはほぼほぼゼロになる筈。
    実際に、自分が鯖を運用している限りでは、自鯖の各サービス鯖やOAuth鯖へのアタックは今まで無かった。

    #信頼できるのは自分で制御管理できる範囲内でしかない

    ここに返信
  • by Anonymous Coward on 2024年01月07日 6時05分 (#4590081)

    24桁になるんやろか

    ここに返信
    • by Anonymous Coward

      パソコンを使わなくなるでしょう
      パソコン以外にソフトの機能が移るか
      それともスマホのアカウントを登録させて毎回スマホに入力用のワンタイムコードが飛んでくる仕組みになるでしょう。
      スマホが必須になるでしょう。スマホが必須だとパソコンいらないよねにしかならん。

    • by Anonymous Coward

      来年にはUTF-128で12文字以上となりそうな予感(ナイナイ

  • by Anonymous Coward on 2024年01月07日 11時02分 (#4590110)

    https://github.com/OldhamMade/alpaca.el [github.com] を永遠に使っているんだがそろそろ Emacs をやめたい
    VS Code のプラグインで同じことができるものを希望・・・

    ここに返信
  • by Anonymous Coward on 2024年01月08日 17時12分 (#4590447)

    hirakegoma1234
    あたりが最有力になりそうなオカン

    ここに返信
  • Android 上の LastPass Authenticator [it-kiso.com] アプリはあなたが思っているほど安全ではない可能性があります

    ここに返信
typodupeerror

人生unstable -- あるハッカー

読み込み中...