Lamiyi

LastPass は最近、深刻なセキュリティ侵害により攻撃者が顧客のパスワード保管庫にアクセスしたことを明らかにしました。

この攻撃は、2022年8月に発生したセキュリティインシデントに端を発しています。ハッカーは開発環境からソースコードと技術情報の一部にアクセスできました。この情報を利用して従業員を標的とし、クラウドベースのストレージサービス内の一部のストレージボリュームにアクセスし、復号するために使用する認証情報とキーを入手しました。

これまでに判明していることは、クラウドストレージのアクセスキーとデュアルストレージコンテナの復号キーを入手した後、脅威アクターがバックアップから情報をコピーしたということです。このバックアップには、顧客アカウントの基本情報と関連メタデータ（会社名、エンドユーザー名、請求先住所、メールアドレス、電話番号、LastPassサービスへのアクセス元IPアドレスなど）が含まれていました。また、脅威アクターは、暗号化されたストレージコンテナから顧客の保管庫データのバックアップもコピーできました。この保管庫データは独自のバイナリ形式で保存されており、ウェブサイトのURLなどの暗号化されていないデータだけでなく、ウェブサイトのユーザー名やパスワード、セキュリティ保護されたメモ、フォームに入力されたデータなどの完全に暗号化された機密フィールドも含まれています。

LastPassによると、暗号化されたフィールドは256ビットAES暗号化で保護されており、各ユーザーのマスターパスワードから生成された固有の暗号化キーでのみ復号化できるとのことです。同社は、ベストプラクティスに従えば、保管庫のマスターパスワードを解読するには数百万年かかると主張しています。

上記のデフォルト設定を使用すると、一般に利用可能なパスワードクラッキング技術を使用してマスターパスワードを推測するには数百万年かかります。ユーザー名とパスワード、安全なメモ、添付ファイル、フォーム入力フィールドなどの機密性の高い保管庫データは、LastPassのゼロナレッジアーキテクチャに基づいて安全に暗号化されたままです。

ライバル企業の 1Password は本日の投稿で、多くのマスターパスワードは機械生成されていないため、解読コストはわずか 100 ドルであると主張している。

「数百万年」という主張は、LastPassユーザーの12文字のパスワードが完全にランダムなプロセスによって生成されたという仮定に基づいているようです。人間が作成したパスワードは、この要件には全く達していません。私が10年以上前から主張しているように、人間は高エントロピーのパスワードを作成することができません。文字、数字、記号を組み合わせた一見巧妙なパスワード作成方法は、メリットよりもデメリットの方が大きいのです。優れたパスワード生成ツールで作成されていない限り、パスワードは解読可能です。

1Password は、同社のサービスは秘密鍵を使用するため他のサービスとは異なると主張しています。

--
秘密鍵に関する最も重要な事実は、
1. 初めてサインアップしたときにデバイス上で作成されることです。2
. デバイスから外に出ることはありません。3
. データを復号化するために必要なキーを導出する際に、アカウント パスワードに組み込まれます。4
. 高エントロピー (128 ビット) です。

1と2の結果として、私たち（そして私たちを侵害する者）はあなたの秘密鍵に一切アクセスできません。3の結果として、攻撃者があなたのデータを復号するには、あなたの秘密鍵を入手するか推測する必要があります。そして4の結果として、秘密鍵は推測されません
。

詳細は下記のリンク先の記事をご覧ください。1Passwordにご興味をお持ちの方は、個人アカウントが月額2.99ドルです。

続きを読む