LastPassは十分に安全ですか?
彼らは言った:
プライベートマスターパスワード:ユーザーのマスターパスワード、およびユーザーデータの暗号化と復号化に使用されるキーは、LastPassのサーバーに送信されることはなく、LastPassからアクセスすることもできません。
Local-Only Encryption:ユーザーデータはデバイスレベルで暗号化および復号化されます。ボールトに保存されたデータは、LastPassからであっても秘密にされます。
これはいくつかの質問を引き起こします:
- LastPassにパスワードがない場合、入力したパスワードが正しいことをどのようにして知ることができますか?
- LastPassは新しいデバイスでパスワードをどのように復号化しますか?
- LastPassは安全ですか?
- マスターパスワードを忘れた場合はどうなりますか?
LastPass Webサイトの this support thread から:
LastPassは私のマスターパスワードを決して受け取っていないと言います。ログイン時にLastPassサーバーに送信しませんか?
いいえ、LastPassにログインすると、サーバーに送信する前に、前述のコードを使用してマスターパスワードから2つのものが生成されます。パスワードハッシュと復号化キーです。これはすべてローカルで行われます。
- パスワードハッシュは、あなたを確認するためにサーバーに送信されます。確認が完了すると、暗号化されたVaultが返送されます。マスターパスワードではなく、ハッシュのみが送信されます。
- コンピュータから離れることのない復号化キーは、Vaultが戻ってきたら、それを復号化するために使用されます。
だからあなたの質問に答えるには:
LastPassは私のパスワードが正しいことをどのようにして知るのですか?
LastPassは、暗号化された形式でのみボールトにアクセスできます。彼らは鍵を知らずにそれを読むことはできません。ログインすると、クライアントはパスワードのハッシュのみを送信し、LastPassはそれを、所有しているパスワードハッシュと比較します。
LastPassは新しいデバイスでパスワードをどのように復号化しますか?
復号化キーはパスワードの機能です。その結果、同じ入力(パスワード)は常に同じ出力(ハッシュ+復号化キー)を生成します。ボールトを復号化するために新しいデバイスが知る必要があるのは、これだけです。
本当に安全ですか?
これに対する答えは、LastPassをどれだけ信頼しているかによって異なります。
彼らが言うとおりに機能する場合は、十分に強力なパスワードで比較的安全にする必要があります。
anyポイントで(意図的であろうと偶然であろうと)パスワードにアクセスできる場合は、おそらくそれが危険にさらされていると考えるべきであり、 LastPassパスワードを変更しますが、ボールトにあるすべてのアカウントのパスワードを変更します。
マスターパスワードを忘れた場合はどうなりますか?
パスワードを忘れると、ボールトにアクセスできなくなります。 LastPassはそれを送信したりリセットしたりできません。 。
LastPassセキュリティの一部を「セーフティネット」と引き換えに利用するユーザーにとって、LastPassは One-Time-Passwords を作成して使用することを許可し、有効にすることもできます 緊急アクセス 指定したユーザーからアカウントへのアクセスを提供します。
ワンタイムパスワード
信頼されていない公共のコンピューターを使用していて、LastPassデータにアクセスする必要があるが、キーロガーの可能性があるためアクセスを躊躇している場合、LastPassはアカウントに安全にアクセスするための1つのオプションとしてワンタイムパスワード(OTP)を提供します。
信頼できるコンピューターを使用しているときに、 https://lastpass.com/otp.php にアクセスして、LastPassにログインするために1回だけ使用できるランダムパスワードのリストを作成します。 OTPを管理するには、プラグインにログインする必要があります。このページから、新しいワンタイムパスワードを追加するオプション、すべてのOTPをクリアするオプション、またはOTPを印刷するオプションが表示されます。
新しいOTPを生成するたびに、リストに追加されます。これらのパスワードは、印刷したり、ポータブルストレージデバイスで携帯したりできます。その後、上記のページに再度アクセスして、このパスワードを使用してログインできます。パスワードが取得されたとしても、一度ログインするとパスワードが期限切れになるため、その後の試行でパスワードがアカウントにアクセスできないことを確認できます。
別の形式の多要素認証(Yubikey、Google Authenticator、Sesame、またはGRID)でOTPを使用して、信頼できるコンピューターを使用していないときにさらに安全にすることもできます。
緊急アクセス
家族、友人、パートナー、または配偶者が重要なアカウントにアクセスして、何かが起こった場合に心配しますか?あなたに代わってアカウントを管理するのに必要なパスワードとログインを簡単に提供したいですか?予期しない事態に備え、請求書や住宅ローンの支払いなど、大切な人が愛する人にロックされないようにし、デジタルレガシーを管理できるようにします。
緊急アクセス機能を使用すると、緊急事態や危機の際に、信頼できる家族や友人にLastPassアカウントへのアクセス権を与えることができます。指定された緊急アクセス連絡先は、マスターパスワードを知らなくても、アカウントへのアクセスを要求し、パスワードとメモを安全に受け取ることができます。ユーザーがリクエストしてからアクセス権が付与されるまでの時間を決定し、不必要にリクエストされた場合はアクセスを拒否できます。
緊急アクセスは、マスターパスワードを忘れてしまうことを心配していて、ボールトを回復するためのバックアップ方法を確保したい場合に、代替アカウント回復機能として使用することもできます。
注意:アクセスを共有する相手には、独自のLastPassアカウントも必要です。
公開鍵と秘密鍵の暗号化(非対称)をチェックする価値があるかもしれません。
私は、彼らは非対称暗号を使用することができると推測しています。新しいデバイスを登録するときは、そのデバイスでキーペアを作成し、公開キーを古いデバイスに送信し、元の秘密キーを新しいデバイスの公開キーで暗号化し、サーバーに送信してから、新しいデバイスに送信して復号化します。新しいプライベートキーを使用して新しいデバイスでローカルに元のプライベートキーを削除し、新しいプライベートキーを削除して、両方のデバイスに元のプライベートキーのみを残します。
その後、1つのマスターパスWordを使用して、残りのアカウントパスワードのロックを解除できます。すべての技術性はレイヤーの下に隠されているため、ユーザーが知る必要があるのは1つのパスワードだけです。
つまり、安全な秘密鍵はサーバーを通過しますが、難読化されます。
次に、彼らはどの暗号化を使用するのか尋ねなければなりませんか?セキュリティ上の予防策として、彼らがあなたに言ってくれるとは思えません。特定の暗号化を信頼していますか?誰が暗号解読を阻止しているのか、誰かが商業用のコンピュータの力や大きな計算能力を持つ政府だと思っています。弱い暗号は通常のユーザーなどに打ち負かされる可能性があるため。
しかし、それは推測にすぎません。
私が意味することは、そのようなサービスが十分に強力な暗号化を使用している場合、そのようなサービスが技術的に安全であることですが、会社がこれを遵守するかどうかは別の問題です。
セキュリティにおける本当の問題は、デバイスは安全ですか、それとも安全ですか。人々はセキュリティチェーンの最も弱いリンクです。
マスターパスワードを忘れると、すべてを失ってしまいます。誘惑はそれを書き留めることですが、それが人々が最も弱いセキュリティリンクである理由の1つです。
私の最近のパスワードソリューションはYubicoキーです。