閉じる
メニュー

あなたのパスワード マネージャーはあなたが思っているほど安全ではないかもしれません - その理由は次のとおりです

  • パスワード管理ソフトウェア LastPass は、3 か月間に 2 件のセキュリティ侵害を報告しました。
  • 専門家は、パスワード管理ソフトウェアを賢く選択する必要があると言っています。
  • また、ハッカーを防ぐためにソフトウェアを最新の状態に保つ必要があります。
ユーザー名とパスワードのログイングラフィックが重ねられたノートパソコンのキーボードを手に持つ。

サコーン・スッカセムサコーン/ゲッティイメージズ

パスワード マネージャーのメーカーは、自社のソフトウェアをデジタル ライフのキーを安全に保存する方法として宣伝していますが、最近の事件により、その主張に疑問が生じています。

LastPass CEO カリム・トゥーバ パスワードマネージャーが 二度目に違反した. 同社は、個人情報は開示されたが、顧客のパスワードは安全に保たれたと述べた。 この事件は、パスワードについて特別な注意を払う必要があることを思い出させるものであると一部の専門家は述べています。

「おそらく、ユーザーにとっての最大の脆弱性は、弱いマスター パスワードによって他のすべてのパスワードが侵害される可能性があることです。 パスワード: したがって、ユーザーが非常に強力なマスター パスワードを選択し、そのマスター パスワードをコミットすることが重要です。 思い出に、」 ブライアン・ロバート・キャラハン、情報技術および Web サービスの大学院プログラム ディレクター レンセラー工科大学とLifewireの電子メールインタビューで語った。 「そうすれば、マスターパスワードに対する総当たり攻撃は実行不可能になるか、不可能になります。」

LastPassがハッキングされた?

最近のセキュリティインシデントの後、LastPass はその名に恥じないかもしれません。 同社は、LastPassとその関連会社GoToが共有するサードパーティのクラウドストレージサービス内で異常なアクティビティを検出したと発表した。 LastPass は次のことを警告しました 9月にも同様の事件があった.

ログイン画面が画面に表示された状態でラップトップのキーボードを入力する手。

フィスケス/ゲッティイメージズ

「私たちは、2022 年 8 月の事件で得られた情報を使用して、無許可の当事者が 当社の顧客情報の特定の要素にアクセスできるようになりました」とトゥーバ氏は会社のウェブサイトに書いた。 「LastPass のゼロ ナレッジ アーキテクチャにより、お客様のパスワードは安全に暗号化されたままになります。」

Callahan 氏は、LastPass 事件にもかかわらず、パスワード マネージャーは通常は安全であると述べました。 このソフトウェアは、弱いパスワードを再利用したり、パスワードを紙に書き留めたりするよりもはるかに優れた選択肢です。

「すべての大手企業が提供する製品には、保存されているパスワードの暗号化などのセキュリティ機能が含まれています。 攻撃者があなたのパスワード データベースを盗むことに成功したとしても、彼らはあなたのパスワードが何であるかを知ることはできません」とキャラハン氏は述べています。 追加した。 「完璧なソフトウェアはありませんが、ユーザーはパスワード マネージャーを使用し、安全に使用することが推奨されるべきです。」

キャラハン氏は、パスワードマネージャーが過去にハッキングされたことがある、と語った。 問題の 1 つは、「シークレットのスクラブ」が不十分であることです。たとえば、パスワード マネージャーが保存されているパスワードの 1 つを表示すると、そのパスワードはシステム メモリに残り、ハッカーに対して脆弱になります。

ゼロナレッジおよびゼロトラストのセキュリティ アーキテクチャを備えたパスワード マネージャーを探してください。

「ユーザーがパスワードの確認を終えた後に、パスワード マネージャーがシステム メモリを適切にクリーンアップしなかった場合、 パスワードを忘れてしまうと、攻撃者にはパスワードを閲覧する機会が与えられてしまうでしょう」とキャラハン氏は述べた。 言った。

クラウドベースのパスワード マネージャーに関する最大のセキュリティ問題は、ベンダーが環境をどのように保護するか、およびユーザーのパスワード保管庫の暗号化キーがどこに保存されるかです。 ポール・キンケイド、サイバーセキュリティの専門家 セキュア認証アクセス管理と認証を扱う会社であると電子メールで指摘した。

「一部のベンダーは、復号キーについて「知識がまったくない」と主張しているため、ベンダーの 環境が侵害された場合、攻撃者はユーザーのマスター パスワードをブルート フォース攻撃する必要があります。」 キンケイド氏は語った。 「さらに、攻撃者をパスワード マネージャーから遠ざけるのはマスター キー/パスワードだけであるため、強力なパスワードと多要素認証が鍵となります。

安全に遊ぶ

すべてのパスワード マネージャーが同じように作られているわけではありません。 クレイグ・ルーリー、サイバーセキュリティ会社の共同創設者 キーパーセキュリティと電子メールでLifewireに語った。 同氏は、Webブラウザを使用してパスワードを保存したり、セキュリティが弱いパスワードマネージャーを使用したりすると、データが危険にさらされる可能性があると述べた。

「選択肢を検討するときは、ゼロナレッジおよびゼロトラストのセキュリティ アーキテクチャを備えたパスワード マネージャーを探してください」と同氏は付け加えた。 「ゼロ知識とは、ユーザー以外の誰も暗号化されたファイルにアクセスできないことを意味します。これは侵害が発生した場合に非常に重要です。」

パスワード管理ソフトウェアを最新の状態に保つことも重要です。 マシュー T. カーの共同創設者 アタムセルサイバーセキュリティ企業が電子メールで明らかにした。 「他のソフトウェアと同様、パスワードマネージャーにも脆弱性が存在し、時間が経つと発見される可能性がある」と同氏は付け加えた。 「パスワード マネージャーを最新の状態に保ち、最も安全なバージョンにしてください。」

すべてを正しく行ったとしても、パスワード マネージャーを使用すると問題が発生する可能性があります。 パスワードマネージャーが提供する高いセキュリティは、パスワードを忘れた場合に困ることを意味すると指摘 タイラー・ファラー、サイバーセキュリティの専門家 エグザビーム、メールで。

「パスワード管理者が業界標準を維持しているのであれば、マスターパスワードを閲覧したり回復したりする機能を持たせるべきではない」と同氏は付け加えた。

2022 年 12 月 8 日訂正: 段落 3 のソースのタイトルを修正しました。