脆弱なマスター パスワードを持つ LastPass ユーザーは、サービスに保存した個々のパスワードを変更する必要がある場合があります。
同社の 12 月 23 日の声明によると、パスワード管理サービスの LastPass は 2022 年 8 月にハッキングされ、攻撃者はユーザーの暗号化されたパスワードを盗んだ。これは、攻撃者がブルート フォース推測によって、LastPass ユーザーの Web サイト パスワードの一部をクラックできる可能性があることを意味します。
Notice of Recent Security Incident – The LastPass Blog#lastpasshack #hack #lastpass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell 🇺🇦 🇩🇪 (@thomaszickell) December 23, 2022
LastPass は 2022 年 8 月に侵害を最初に開示しましたが、その時点では、攻撃者はソース コードと技術情報のみを取得しており、顧客データは取得していないように見えました。しかし、同社は調査の結果、攻撃者がこの技術情報を使用して別の従業員のデバイスを攻撃し、クラウド ストレージ システムに保存されている顧客データへのキーを取得するために使用されたことを発見しました。
その結果、「会社名、エンドユーザー名、請求先住所、電子メール アドレス、電話番号、顧客が LastPass サービスにアクセスする際に使用した IP アドレス」など、暗号化されていない顧客メタデータが攻撃者に明らかになりました。
さらに、一部の顧客の暗号化されたボールトが盗まれました。これらのボールトには、各ユーザーが LastPass サービスで保存する Web サイトのパスワードが含まれています。幸いなことに、保管庫はマスター パスワードで暗号化されているため、攻撃者が保管庫を読み取ることはできません。
LastPass の声明では、サービスが最先端の暗号化を使用して、攻撃者がマスター パスワードを知らずにボールト ファイルを読み取ることを非常に困難にしていることを強調しており、次のように述べています。
「これらの暗号化されたフィールドは 256 ビットの AES 暗号化で保護されており、Zero Knowledge アーキテクチャを使用して各ユーザーのマスター パスワードから派生した一意の暗号化キーでのみ復号化できます。なお、マスター パスワードは LastPass に知られることはなく、LastPass によって保存または維持されることはありません。」
それでも、LastPass は、顧客が脆弱なマスター パスワードを使用した場合、攻撃者がブルート フォースを使用してこのパスワードを推測できる可能性があることを認めており、LastPass が説明しているように、ボールトを解読して顧客のすべての Web サイト パスワードを取得することができます。
「マスターパスワードが[会社が推奨するベストプラクティス]を利用していない場合、正しく推測するために必要な試行回数が大幅に減少することに注意することが重要です. この場合、追加のセキュリティ対策として、保存した Web サイトのパスワードを変更してリスクを最小限に抑えることを検討する必要があります。」
パスワード マネージャーのハッキングは Web3 で排除できますか?
LastPass のエクスプロイトは、Web3 開発者が何年も前から行ってきた主張を示しています。つまり、従来のユーザー名とパスワードのログイン システムを破棄して、ブロックチェーン ウォレットのログインを支持する必要があるというものです。
クリプト ウォレット ログインの支持者によると、従来のパスワード ログインは、パスワードのハッシュをクラウド サーバーに保持する必要があるため、根本的に安全ではありません。これらのハッシュが盗まれると、クラックされる可能性があります。さらに、ユーザーが複数の Web サイトで同じパスワードを使用している場合、1 つのパスワードが盗まれると、他のすべてのパスワードが侵害される可能性があります。一方、ほとんどのユーザーは、さまざまな Web サイトの複数のパスワードを覚えることができません。
この問題を解決するために、LastPass などのパスワード管理サービスが発明されました。しかし、これらはクラウド サービスに依存して、暗号化されたパスワード ボールトを保存します。攻撃者がパスワード マネージャー サービスからパスワード ボールトを取得できた場合、ボールトをクラックして、ユーザーのすべてのパスワードを取得できる可能性があります。
Web3 アプリケーションは、別の方法で問題を解決します。MetaMask や Trustwallet などのブラウザー拡張ウォレットを使用して、暗号化署名を使用してサインインするため、パスワードをクラウドに保存する必要がなくなります。
しかし、これまでのところ、この方法は分散型アプリケーション向けにのみ標準化されています。中央サーバーを必要とする従来のアプリには、現在、ログインに暗号ウォレットを使用する方法について合意された標準がありません。
関連:Facebookは顧客データの漏洩で2億6500万ユーロの罰金を科されました
しかし、最近の Ethereum Improvement Proposal (EIP) は、この状況を改善することを目的としています。EIP-4361 と呼ばれるこの提案は、集中型アプリケーションと分散型アプリケーションの両方で機能する Web ログインの普遍的な標準を提供しようとしています。
この標準が Web3 業界によって合意され、実装された場合、その支持者は、最終的に World Wide Web 全体からパスワード ログインが完全に取り除かれ、LastPass で発生したようなパスワード マネージャー違反のリスクが排除されることを望んでいます。
