LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事、 9to5Mac の記事、 The Verge の記事)。

LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。

LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。

• 少なくとも 12 文字、長ければ長いほどいい
• 大文字・小文字・数字・記号を使う
• 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
• 自分だけのユニークなものにする
• 個人情報は絶対に使わない
• 好例: Fidoate!my2woolsox

1Password ではこれに対し。12 文字のパスワードにはおよそ 2⁷² 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。2⁷² という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | 暗号 | お金 | 情報漏洩 |

関連ストーリー：
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
Linux版1PasswordのDeveloper Preview版がようやく登場 2020年08月18日
複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 2019年02月26日
指紋認証デバイスで多数の指紋に一致する合成指紋「DeepMasterPrints」 2018年11月18日
1Passwordに「トラベルモード」が実装される 2017年05月27日
ありがちなパスワードを「強い」パスワードと判断してしまうパスワード強度メーター 2016年08月26日
パスワード管理ツール「1Password」に脆弱性？ 2015年10月21日
LogMeInがLastPassを買収 2015年10月11日
パスワード、どうやって管理している？ 2014年02月23日
「ユーザー名 = メールアドレス名」はダメ？ 2012年11月26日