LastPass、12文字以上のマスターパスワードを義務付け開始 47
ストーリー by headless
義務 部門より
義務 部門より
LastPass は 2 日、マスターパスワードの長さを 12 文字以上にすることの義務付けを開始すると発表した
(The LastPass Blog の記事、
Bleeping Computer の記事、
The Verge の記事)。
LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。
LastPass では 2018 年からデフォルトでマスターパスワードの長さを 12 文字以上としていたが、ユーザーはそれより短いマスターパスワードの設定を選択することができたという。2023 年 4 月からは新規ユーザーとマスターパスワードをリセットするユーザーに対し 12 文字以上のマスターパスワード設定を義務付けており、1 月からは順次すべてのユーザーに 12 文字以上のマスターパスワードを再設定するよう求めていくとのこと。新しいマスターパスワードポリシーは段階的なロールアウトが行われ、1 月末までに全ユーザーへの通知が完了する。2 月には過去にダークウェブで流出したパスワードでないことの確認をマスターパスワード作成・変更時に実行開始するとのことだ。
一箇所に頼らない方が良いと思う (スコア:3)
サイトごとにパスワードを変えましょうという話をするときに、一緒に話すことが多いのですが、長いパスワードは分割して分けて管理をお勧めしています。
受け入れてもらいやすいのは100均等で販売されているパスワード帳に、サイト毎に異なる6〜8桁のランダムなパスワード前半を記録し、それとは別に全サイトで共通のパスワード後半を記憶しておく、というものです。
サイト毎に異なるパスワードを暗記するのはとても困難ですが、パスワードを紙に書いてはいけませんというリテラシー教育はかなり普及しているので、ただパスワード帳に書きましょうと言っても抵抗があります。紙面の記録+暗記の語句なら、パスワード帳を置き忘れたり落としたりして盗み見られた時のリスクを下げることができます、と説明しています。
また紙面のランダムなパスワードも10字を超えると入力するときの労力も大きいので、これを低減することにも繋がります。
暗記する後半も3〜4文字の語句を二つ連結して7字程度にすることを勧めています。
自分の使用する範囲の100サイト弱では 95%以上で 14文字のパスワードが使えるので、連結して 14文字を推奨。
マスターパスワードも長いに越したことはありませんが、全部を暗記せずに一部を書いておいても良いと思います。
また、LastPass の安全性も絶対確実なものではありませんから、保管されているサイト毎のパスワードも、それに自分だけが知っている共通の後半部分を追加(もしくは置き換え)することで、安全性を高めることができます。
# と言いながら自分では自作ツールのみだったりする…
Re: (スコア:0)
パスワード文字種別しばりがうざい
英大文字、英小文字、数字しか使えない
英大小数記号全て使わないといけない
記号も使えるものと使えないものが指定されたり
何文字以上、何文字以下しか西紀しない、何文字ぴったり
とか
Re:一箇所に頼らない方が良いと思う (スコア:2)
過去に使ったパスワードを拒否るのが嫌い。
Re: (スコア:0)
これ。
iPhone でパスワード変更した後に、iCloud にアクセスしようとして
「一つ前のパスワードを入力してください」とか言われるともうね、わからなくなる。
今までで変わらず (スコア:1)
普通にパスワードを作って
2回繰り返す
そのうち16桁とか20桁とか要求してくるんでしょ? (スコア:0)
俺は4回から5回かな?英数・記号12桁とか言っているけど、普通に無理じゃん?
Re: (スコア:0)
循環しているものははねられるようになったりして。
1Passwordの方が筋がいい気がする (スコア:1)
1Passwordはデータを
・ユーザーが決めたパスワード
・シークレットキー(アカウントセットアップ時に生成される128ビットの乱数列)
を繋げたキーで暗号化している。
サーバー側には暗号化されたデータしか保持していないし、シークレットキーはサーバー側に送信されない(はず)。
常にクライアント側で復号するようになってる。
アプリやWebサイトが改竄されて両方セットで盗まれたらどうしようもないが、システムに侵入されただけで一発アウトということにはならない。
パスワードからクレカ番号に至るまで全部預けるにはこれぐらいやってほしい。
Re:1Passwordの方が筋がいい気がする (スコア:1)
8文字以上だったのを12文字以上に義務付けって対応に筋悪感があるんだよな。
マスターパスワードの変更強制は既存ユーザーの手間が割と大きいのだから、
手間のかかる事をさせるならそれに見合う抜本的に効果のある対応が期待されるけど、
文字数増やしても総当たり攻撃の耐性が高まる効果しかない。
Re: (スコア:0)
総当たり攻撃に対してほどほどに耐性があるパスワードを使ってさえいればそうそう破られません。安易なパスワードを使っている人がいっぱいいるので、クラッカーは先にそっちを破るのを優先してくれるます。強いパスワードを破るまで総当たりしたりしません。
以前,*ランダム*な12文字であれば、総当たりするのに最速のコンピュータでも3年ぐらいはかかるって計算したことがあります。ランダムでありさえすれば12文字ぐらいでも程々に強いので十分だとワタシは思います。
Re: (スコア:0)
全員が12文字以上なので、12文字で安易なパスワードを使ってる人をクラッカーは優先してくれますよね。
Re: (スコア:0)
クラッカーは「12文字で安易なパスワードを使ってる人」をどうやって探し出すのだろう…
Re: (スコア:0)
あんまり根拠ないけど、多分、100単語ぐらいの辞書を作っておけば100人に一人ぐらいは当りますよ。(パスワードスプレー攻撃)
クラッカーの目的が経済的利益なら、何人か破れたヤツから金を盗めばいいので、敗れなかった他のアカウントを破るために時間かけたりしません。
Re: (スコア:0)
探し出す必要ありません。
多数のユーザに対して12文字で安易なパスワードを試せば、脆弱なパスワードを使用している人が見つかります。
同じ回数なら一人のユーザに対して10万回試行するのではなく、10万ユーザに対して1回試行すればいいのです。
Re: (スコア:0)
それは「12文字で安易なパスワードを使ってる人をクラッカーは優先」とは違うアプローチじゃないですか
Re:1Passwordの方が筋がいい気がする (スコア:1)
シークレットキーがサーバー側に送信されないなら、ローカルのデータを削除したり失ったら、パスワード覚えていてもパスワードを復元できなくならない?
ユーザーがシークレットキーの存在を認識していて、バックアップ取っていれば別だけど。
複数クライアントがある場合、どうやってシークレットキーを同期させるのか、という問題もあるし。
Re:1Passwordの方が筋がいい気がする (スコア:2, 参考になる)
> ローカルのデータを削除したり失ったら、パスワード覚えていてもパスワードを復元できなくならない?
その通りです。
アカウントセットアップ時にシークレットキーが提示されて、必ずこれをメモするか印刷するかしておけ、と言われます。
(任意のタイミングで別の値にリセットすることは可能)
このシークレットキーはアプリの初回起動時に入力すると永続的に記憶されるようになっているので
普段ユーザーが使うのはマスターパスワードだけですが、
もちろんデバイス間で同期はされないので複数デバイスで利用する際は個別に入力しなければなりません。
Re: (スコア:0)
なるほど。
確かに、これなら問題ない。
Re: (スコア:0)
1passwordで全く新しいデバイスのログインに必要な情報は以下の3つ。
・メールアドレス
・シークレットキー(306E5514-BC07-A381-5140-C4A0EF392983 の様な、充分に長いランダムな文字列の組み合わせ)
・ユーザーが入力するパスワード(ユーザーが決める事ができる文字列。短くても問題ない)
で、新しいPCで最初にログインする時は3つ全部必要。
それ以降は(同じPC、ブラウザなら)ユーザーが入力するパスワードだけでログインできる。
本質的なパスワードはシークレットキーとユーザーが入力するパスワードを組み合わせた文字列って事なんだろうな。
これならユーザーが入力するパスワードが短くてもシークレットキーで一定数の長さ ランダムさが確約される。
形骸化した契約と履行義務 (スコア:0)
面倒(覚えられない)なので8桁や4桁くらいパスワードを使いまわしている人間が
複数のパスワードを一括管理するために仕方がなく12桁のパスワードを暗記するのか?ということ
まぁ、仕方がないから12桁のパスワードを作ったとして、それをどこぞにメモしたりとか
矛盾が生じるだろうな
Re: (スコア:0)
>それをどこぞにメモしたりとか矛盾が生じるだろうな
いつの時代の話をしている。
インターネット時代ならメモを取るのは良い習慣だぞ?
問題はそのメモをきちんと管理することだけ。
金庫に入れたり、財布に入れたりするくらいでほぼOK。
#パスワードも他人に推測しにくければなんでもいいので、
#感心したのは「元カノの電話番号」だったな。
Re:形骸化した契約と履行義務 (スコア:1)
僕はその時その時のセフレの名前にしているが、久しぶりにアクセスするサイトやアプリだと、あの時はどのセフレだったっけ、と思い出せなくなることがあった。聞くわけにもいかないし。。。
Re: (スコア:0)
辞書攻撃に弱そう
Re: (スコア:0)
慶子、早苗、芳子。。。
Kelly、Mary、Amanda。。。
太郎、真一、和夫、Neal。。。
ポチ
Re: (スコア:0)
犬をセフレにしたこともあるってこと?
Re: (スコア:0)
電話番号、覚えてますかね…
Re: (スコア:0)
> #感心したのは「元カノの電話番号」だったな。
いつの時代の話をしている
Re: (スコア:0)
2FA必須にする方が筋は良いと思うんだがねぇ
Re: (スコア:0)
マスターパスワードなんて毎日何度も入力するので、ランダムでも12文字ぐらいなら憶えられますよ。
長いパスワードの作成をユーザに要求してくるより先に (スコア:0)
おまえらLastPassがもう金輪際、クラックされパスワード保管庫を丸ごとコピーされたりすることのないよう確約してもらう方が先。
どれだけ長いマスターパスワードを作ったところで、その鍵をかけたブツが丸ごと盗まれてしまうようでは無意味。
したり顔して「12文字以上のマスターパスワードを義務付け」とかいって、いざパスワード保管庫が盗まれても割られにくいパスワードの作成をユーザ側に求めてる場合じゃない。
Re: (スコア:0)
で、LastPassが盗まれせんと言ったとして信用できますかね?イワシの頭より?
Re: (スコア:0)
そんな確実に不可能なこと求めてなにか意味でも?
LastPassどころか全世界のメーカーで見ても不可能でしょ、それ。
こういう無意味な完璧主義が停滞を招くんだよなぁ。
Re: (スコア:0)
とはいえ、2022年8月のソースコード漏洩後、その漏洩した情報を足がかりにして利用者のパスワードを含む個人情報漏洩を盗まれたりしてる [gigazine.net] ので、「もうええ加減にせぇよ」と思うのは仕方のないことかと思います。
Re: (スコア:0)
「もうええ加減にせぇよ」と思うのは当然だと思いますけど、だからといって確実に不可能な「確約」を求めてどうなります?
理論的には「そんなことできません」としかならないんですけど、客のために「できる」と言わせるんですか?
それとも確約できないなら会社畳めとでも? そんなことになればますます「失態は隠せ」が当たり前の社会になってゆきますが。
Re: (スコア:0)
Aを要求するならBが先だという表現は、Bをしろという意味ではなく、Aを要求するなという意味の婉曲表現ですよ。
#こんな解説必要なのかと思いつつ念の為
Re: (スコア:0)
まぁパスワードデータを漏らした時点で使うのをやめるべきだよね。信用・信頼性がすべてでしょ、これ系のサービスは。
1passwordとか他にもいろいろあるんだし、こんなリスキーなサービスを継続利用するユーザーの方がどうかしてる。
ログインを必要とする各サービスが自前のOAuth認証サーバーを認めてくれれば。 (スコア:0)
タイトルのとおり
ログインを必要とする各サービスがログイン方法の変更から
ユーザーが指定するOAuth認証サーバーを自由に設定できるようにしてくれれば良い
大手のgoogleやamazonなどには対応しているけど、小規模サービスや個人運営の自鯖のOAuthは使用できないからなぁ。
複数のパスワードを作ったり・覚えたりすることが難しいから、今回のアカウント管理サービスが台頭したのだろうけど、
実際に漏洩する時には、有名どころっていうのが相場で、しかも限られているとなればなおさら大規模なものとなる。
そうすると、自分の手元で一元管理したくなる。ただ、複数のパスワードを覚えたくないとなるとOAuth鯖しかなくなる。
自分の場合、SMTP鯖建ててアカウント登録・回復用メールアドレスにしていて、OAuth認証鯖も建てているるので、
OAuth認証先を選択できれば、自前の鯖とアカウントで完結する事ができる。
当然、メールアドレスやOAuth鯖の存在は、ログインを必要とする各サービス以外に誰にも知られることはないので、
OAuth用のパスワードを指紋認証にでも変えておけば、自分の端末以外からのアクセスはほぼほぼゼロになる筈。
実際に、自分が鯖を運用している限りでは、自鯖の各サービス鯖やOAuth鯖へのアタックは今まで無かった。
#信頼できるのは自分で制御管理できる範囲内でしかない
認証用アカウント・パスワードを保持されていること、暗号化されていないこと、認証先が選べないことが問題 (スコア:0)
復号する際にユーザーの端末で完結できないことも問題。
端末にパスワードを残して置きたくないならOAuth+指紋認証で良いと思う。
来年 (スコア:0)
24桁になるんやろか
Re: (スコア:0)
パソコンを使わなくなるでしょう
パソコン以外にソフトの機能が移るか
それともスマホのアカウントを登録させて毎回スマホに入力用のワンタイムコードが飛んでくる仕組みになるでしょう。
スマホが必須になるでしょう。スマホが必須だとパソコンいらないよねにしかならん。
Re: (スコア:0)
来年にはUTF-128で12文字以上となりそうな予感(ナイナイ
alpaca.el (スコア:0)
https://github.com/OldhamMade/alpaca.el [github.com] を永遠に使っているんだがそろそろ Emacs をやめたい
VS Code のプラグインで同じことができるものを希望・・・
12文字以上って文章だろ (スコア:0)
hirakegoma1234
あたりが最有力になりそうなオカン
Android 上の LastPass Authenticator アプリはあなたが思っているほど安 (スコア:0)
Android 上の LastPass Authenticator [it-kiso.com] アプリはあなたが思っているほど安全ではない可能性があります
Re: (スコア:0)
下手糞な煽りだなぁ