LastPass は、ハッカーが暗号化されたパスワード ボールトを盗んだことを確認します... 4 か月前

すべてのパスワードを追跡するのは難しいことです。複数のアカウントでパスワードを再利用するのはよくないため、パスワードは強力で推測しにくいものでなければなりません。私たちの最善の解決策は、パスワードマネージャーを使用することです。これにより、強力で推測しにくいパスワードを取得でき、それらすべてを記憶する手間を省くことができます (私にはできません)。それらはすべて 1 か所にありますが、パスワード マネージャーにセキュリティ違反があり、パスワード ボールトが漏洩した場合はどうなりますか?それは 4 か月前の出来事であり、彼らは今あなたに伝えているだけです。

何が起こっていたかの簡単な要約

2022 年 8 月 25 日

LastPass は、2 週間前に異常なアクティビティに気づき、調査を開始したという公式メモを投稿しましたが、顧客データへのアクセスの証拠はありませんでした。どうやら、攻撃者は開発環境を通じてソース コードの一部にしかアクセスできなかったようです。

2022 年 9 月 15 日

彼らはMandiantチームとの調査とフォレンジックを完了し、調査を終えた後、攻撃者の活動は 8 月の 4 日間に限定されており、チームはインシデントを迅速に封じ込めたと結論付けました。

また、彼らの調査によると、侵害は技術的に顧客データやパスワード保管庫にアクセスできない開発環境で発生しました。

ユーザーが暗号化されたパスワード ボールトにアクセスできたとしても、ゼロ知識セキュリティ モデルの一部であるユーザーのマスター パスワードなしでは何もできません (最後の文を覚えておいてください)。

2022 年 11 月 30 日

透明性へのコミットメントの一環として、侵害状況に最新情報を追加し、LastPass と GoTo の両方で共有されているサードパーティのクラウド ストレージ サービスで異常なアクティビティに気付いたことを述べ、Mandiant との調査を開始しました。チーム。

今回、彼らは、8 月に発生した侵害により、実際には攻撃者が顧客情報の「特定の要素」にアクセスできるようになったが、ゼロ知識セキュリティ モデルにより、すべてのパスワードは安全であると述べました。

今何が起こっていますか？

2022 年 12 月 22 日、LastPass が公開され、8 月のセキュリティ侵害で、攻撃者が会社名、エンドユーザー名、電子メール、請求先住所、電話番号などの個人を特定できる情報を入手できたことが明らかになりました。とIPアドレス、そしてそれを待つ、パスワードボールト. 🤯

LastPass によると、マスター パスワードの作成を保護するためのすべてのガイドラインに従っていることを考えると、パスワード ボールトは完全に安全でクラックできません。

現時点では、暗号化されていないクレジット カード データが漏洩したという証拠はありません。この時点で、PII とパスワード ボールトが攻撃者の手に渡っているという情報が公開されるまでに 4 か月かかりました。

インシデント通知の全文はこちらで確認できます

パスワードの安全性は?

パスワード作成に関する LastPass ガイドライン全体に従っている場合は、おそらく安全です。攻撃者は、プロセスをスピードアップするために、すでに漏洩した数十億のパスワードの辞書を使用し始めます (RockYou2021 辞書には 84 億という信じられないほどのパスワードがあります)。

攻撃者はパスワードを総当たり攻撃しようとすることもありますが、非常に長い時間がかかると思われる場合は、考え直してください。テクノロジーが進化するにつれて、パスワードをクラックする時間も短縮され、RTX 3090 と RTX 4090 の間のジャンプは、ほぼすべてのアルゴリズムでほぼ 2 倍になります。

誰かが複雑なパスワードを解読するのにどれくらいの時間がかかるのか疑問に思うかもしれません.誰かが最新のハードウェアで実際にテストしたところ、RTX 4090 8 カード リグを使用し、非常に複雑な 8 桁のパスワードを解読できました。このBitDefenderの記事によると、Hashcatを使用して48分で.

したがって、アカウントが安全であることをさらに確認するには、マスター パスワードを含め、LastPass 内に保存したすべてのアカウント パスワードを変更することを強くお勧めします。