LastPass のネットワーク セキュリティが侵害されたというニュースは、もちろん深刻な問題です。侵害された会社は、パスワード管理サービスを提供する会社であり、深刻さを1段階または10段階上げています。では、なぜ私はITセキュリティについて書くことでキャリアを築いてきたのでしょうか?私が引っ張る必要がないという事実をはるかに超えて、LastPassの違反は私たちの一部にとって他の人ほど大きな問題ではありません。
LastPass の広報担当者によると、暗号化されたユーザー ボールト データが盗まれたことや、LastPass ユーザー アカウントがアクセスされたという証拠は見つかりませんでした。では、一体何のことで大騒ぎしているのだろう、とあなたは尋ねるかもしれません – リスクはどこにあるのですか?よく見ると二重です。まず、メールアドレスとそれに関連するパスワードのリマインダーが侵害されているため、偽のマスターパスワードリセットメッセージの形で標的型フィッシングの試みが見られると思います。私はそれらに引っ掛からないと思いたいです。
インスタグラムで誰かのいいねを確認する方法
2番目のリスクについては、現在、弱いマスターパスワードは、アクセスされているサーバーのユーザーごとのソルトと認証ハッシュのおかげで、ブルートフォースクラッキングの試みの対象になります。このようなクラッキングの試みに関して言えば、LastPass がそれらの認証ハッシュをランダム ソルトで強化し、サーバー側の PBKDF2-SHA256 をさらに 100,000 ラウンド投入するという事実は、それらを破ることをより困難にします。ただし、マスター パスワードが貧弱な場合でも、ブルート フォース攻撃を受ける可能性があります。それをクラックするにはもう少し時間がかかります。
そのため、LastPass はほとんどのユーザーにマスター パスワードの変更を強制し、新しいデバイスまたは IP アドレスからログインするユーザーにメール認証を求めています。ただし、マスター パスワードはランダムで、複雑で、長さが 25 文字を超えており、他のどこでも使用されていないため、マスター パスワードを変更することはありません。心からそれを思い出すことができます。さらに、次の 2 つの魔法の言葉、つまり多要素認証によってバックアップされます。
ブーム!私に関する限り、多要素認証によってバックアップされた強力なマスターパスワードを使用しているため、LastPassネットワークの周辺に侵入するためのすべての努力は無駄です。私のマスターパスワードが何らかの形で侵害されたとしても、攻撃者は私のパスワードボールトを復号化するために私のYubiKey(物理トークン)にアクセスする必要があります。これらの詳細設定は無料で使用でき、しばらくの間ユーザーが利用できます。さらに、YubiKeyを購入する必要はありません。必要に応じて、Google Authenticator などの無料でダウンロードできるアプリを使用できます。 2 要素認証 (2FA) が提供されているサイトやサービスで、なぜ二要素認証 (2FA) を使用しないのですか?いや、まじで?
高度な設定について言えば、LastPassでデータが適度に安全であるという信頼性をさらに高めるために使用している別の設定があります。これは、地理的なアクセスのロックダウンです。国の制限を設定して、パスワード ボールトにアクセスできる国を決定できます。海外旅行をしている場合を除いて、私はこれを英国に限定しています。その場合は、出発前にその特定の場所を有効にします。ああ、Tor ネットワークからのログインも許可しません。妄想、モイ?いいえ、王国へのそれらのキーへのアクセスを制限することについては賢明です.あなたもそうあるべきです。
LastPass の侵害について私が最も心配しているのは、奇妙なことに、侵害自体ではなく、それに対する反応です。そして特にメディアのそれは、プロとソーシャルの両方です。 LastPass をキックすることに喜びの感情が根底にあるようで、多くの人がそのようなタイプのレポートを報告しています。しかし、あなたは正確に私たちに何を言いましたか?ここで正確に何が起こったのですか?私たちが見る限り、暗号化されたパスワードデータは危険にさらされておらず、LastPassはイベントを開示し、ユーザーの信頼をさらに確保するための措置を講じる上で非常に透過的です。
メディアの否定派は私たちに何をさせるだろうか?紙とペンに戻すか、より技術的な暗号化を自分で解決するか?私は両方が提案されているのを見てきましたが、平均的なジョーのリスクを減らすことはしませんでした。実際にはその逆です。おそらく別のパスワード管理プロバイダーに移動しますか?繰り返しになりますが、違反に遭った場合ではなく、いつどのように対応するかわからない場合に、これはどのように役立ちますか?少なくとも、違反への対応に関しては、LastPass が重要であることはわかっています。
私にとって、パスワード マネージャーはほとんどの人にとって最も安全なオプションです。私のやり方に従って、強力なマスター パスワードを多要素認証といくつかのログイン ロックダウン オプションと組み合わせると、人為的に可能な限り侵害のリスクを減らすことができます。
これが、マスター パスワードを変更する必要がない理由です。またはそのことについては私のパスワードマネージャー。
