今年もよろしくお願いします。

パスワード管理ツール「LastPass」の度重なるハッキング被害

パスワード管理ツールとしてLastPassは有名なツールです。しかしながら有名ゆえか攻撃対象となることも多いようです。

パスワード管理ツール「LastPass」がハッキングの被害、ソースコードと独自技術が漏洩

不幸中の幸いというべきか、顧客データや暗号化されたパスワード保管庫にアクセスされた形跡はないようだ。

8月時点ではパスワード保管庫にはアクセスされた形跡はないというアナウンスでしたが、その後8月に明らかになったハッキングとは別のハッキング被害もあり、結果パスワード保管庫にアクセスされたという結果が先日報告されました。

2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた～当初想定より深刻

マスターパスワードを他のサイトのパスワードと使いまわしている人や、単純なパスワードの場合非常に危険です。パスワードの変更をしたほうが（もう遅いかもしれませんが・・・）

自分もLastPassを使っているのですが、こうもセキュリティインシデントの報告が相次ぐと使い続けるのは不安です。LastPassに代わるパスワード管理ツールを検討しました。仕事でも使っている1passwordも考えたのですが、今回はBitwardenを試してみることにしました。

Bitwardenとは

無料パスワード管理アプリ「Bitwarden」の使い方をIT管理プロが解説上記の記事が詳しいのですが、僕がBitwardenを検討した理由の一つが、BitwardenはWindowsでもLinux(Chromebook)でも使える点です。自分はどちらのパソコンも使っているので。

LastPassからBitwardenへ移行

自分で調べなくてもまとめている記事がありました。ただし、この記事だけでは物足りませんでした。パスワード管理ツールをつ使う以上、他要素認証は絶対に導入したいのですが、

Bitwarden 2段階認証の設定方法

この記事に書いてあるとおりにやろうとしたのですが、他要素認証設定画面がありませんでした。色々試行錯誤した結果

WebブラウザよりBitwardenにログインし、メールでの認証を行う
右上のユーザアイコンより「アカウント設定」
「セキュリティ」から「2段階認証」タブがあるので、ここで設定

これで設定が可能です。

LastPassのアカウントを削除

最後にLastPassのアカウントを削除します。 LastPass のアカウント削除方法を画像つきでまとめてみた

まとめ

クラウドでパスワードを管理したら危険、ローカルのテキストファイルに保存したら安全、ということもありません。クラウドだからこそハッキングの被害が分かったわけで、ローカルファイルにパスワードを管理していたら、マルウェアに窃取されたことも気が付かないのではないでしょうか。根本の問題は「あらゆるサービスにパスワードが必要、パスワードの管理は脳で記憶するにも、ツールで記録するにもリスクがある」という点。現在僕が注目しているのは”パスワードレス”を実現する”パスキー”と呼ばれる技術。

パスキーとは iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉

Webサイトにアクセスするためのデバイスで生体認証で生成された公開鍵を生成。Webサイト側に公開鍵を登録することで

パスワード自体はWebサイト側は保持しない、公開鍵なので流出しても大丈夫
生体認証を使って認証することから仮に秘密鍵が漏洩しても強度がある
パスワードから開放され、スマフォのロック解除感覚でログインできて楽

セキュリティって堅牢にするほど面倒になります。セキュリティと利便性はトレードオフという言葉もあります（徳丸先生はその言葉を嫌っていますが）、パスキーはセキュリティを強化しつつ利便性も向上するという優れもの。FIDO2の規格も定められ各種サービスでもパスキーの導入が進んでいます。今年はパスワードレスな1年になってほしいですね。