LastPass は、ユーザーのマスター パスワードをクラックするには何百万年もかかると主張していますが、ライバル会社は、そのプロセスにはそれほど時間はかからず、わずか 100 ドルで実行できると主張しています。
人気のあるパスワード管理会社である LastPass は、8 月に攻撃によって顧客のデータ保管庫が取得されたときに、最近攻撃を受けました。
さて、同社のライバル、1Password、クレームLastPass は顧客のデータを十分に保護していません。
1Password の主任セキュリティ アーキテクトであるジェフリー ゴールドバーグによるブログ投稿ユーザーが生成したパスワードではなく、マシンが生成したパスワードを使用することの重要性について説明しています。
「考えられる 12 文字のパスワードをすべて考慮すると、約 272 通りの可能性があります。それらすべてを試すには、何百万年もかかるでしょう。実際、もっと時間がかかるでしょう」と彼は書いています。 「しかし、人間が作成したパスワードをクラックする人は、そのようにはしません。彼らは、最も可能性の高いパスワードを最初に試すようにシステムをセットアップします。」
Goldberg は、ほとんどのユーザーが作成したパスワードは、わずか 100 ドルほどの費用で、100 億回未満の推測でクラックできると述べています。
これは平均的なユーザーにとっては悪いニュースです。ユーザーは通常、マシンによって生成されるパスワードよりも短くて複雑でないパスワードを作成します。
彼は、1Password が追加の保護層、つまり秘密鍵を追加していると指摘しています。顧客の秘密鍵はデバイス上で作成され、1Password に送信されることはなく、ユーザー データを復号化するために必要です。
したがって、ハッカーは理論的には 1Password ユーザーのマスター パスワードを入手できるかもしれませんが、秘密鍵がなければ役に立ちません。
ユーザーがベスト プラクティスに従わず、機械で生成されたパスワードを使用していない場合でも、1Password がデータを保護するためにそれ以上のことを行っていることをユーザーに安心させることで、ブログは終了します。
「私たちは侵害されたことがなく、侵害される予定もありません。しかし、侵害されることを計画しなければならないことは理解しています」と Goldberg 氏は書いています。 「1Password の秘密鍵は、当社の人間中心の設計の最もユーザー フレンドリーな側面ではないかもしれませんが、侵害が発生した場合でも、お客様の秘密が安全に保たれることを完全に確信して言えることを意味します。」
LastPass は、過去に疑わしいセキュリティ慣行のために批判を受けてきました。
2021 年 12 月、LastPass メンバーは、さまざまな場所から正しいマスター パスワードを使用して複数回ログインを試みたと報告しました。同社は、攻撃がサードパーティの侵害で漏洩したパスワードの結果であることを顧客に保証しました.