Latest evidence-based health information
Sitemap
Ipad

LastPassを捨てました。パスワードマネージャーの切り替えは悪夢でした

Otpoo
Otpoo xumh
LastPassを捨てました。パスワードマネージャーの切り替えは悪夢でした
LastPassを捨てました。パスワードマネージャーの切り替えは悪夢でした

LastPassは、現在最大規模のサードパーティ製パスワードマネージャーの一つであり、かつてその地位を維持していたのには十分な理由がありました。無料のLastPassプランは複数のデバイスに対応しており、年間12ドルでアップグレードできる有料プランもあり、使い勝手も非常にシンプルでした。数々のセキュリティインシデントが発生した時でさえ、同社の対応は疑う余地なく、信頼できるものでした。

しかし、時が経つにつれて無料プランの機能が削減され、有料プランの価格は上昇しました。ライバルのパスワードマネージャーもより革新的な機能を搭載し始めました。そして2022年には、顧客の金庫からデータが盗まれ完全に暗号化されていないことが明らかになるという大規模な情報漏洩事件が発生しました。ああ、残念。

かなり前に、大切な人のパスワードを管理するためにLastPassのアカウントを開設しました。昨年のハッキング事件の後も、すぐには乗り換えませんでした(この人にとって変化は難しいのです)。しかし、何度も何度も優しく説得した結果、ついに別のパスワードマネージャーへの切り替えが認められ、ようやくより良い環境に移ることができて本当に嬉しいです。LastPassの問題はあまりにも多く、乗り越えるにはあまりにも多すぎます…実際に乗り換えを検討している時でさえも。

まだ LastPass を使っていて、乗り換えるべきかどうか迷っているなら、私が乗り換えるきっかけとなったことと、二度と戻るつもりがない理由をここで説明します。

パスワード マネージャーの購入を検討している場合は、現在入手可能な最高のパスワード マネージャーをまとめた PCWorld のまとめを確認してください。

2022年のセキュリティ侵害

LastPassのセキュリティ情報のスクリーンショット

PCワールド

LastPassが2022年に発生したセキュリティ侵害に関する開示は、まるで列車事故をスローモーションで見ているかのようでした。8月の最初の発表では、顧客データは影響を受けておらず、開発者環境のみに影響があったと説明されていました。しかし、その3か月後には、顧客データが影響を受けたという最新情報が発表されました。さらに、その約1か月後、同社は顧客情報とパスワード保管庫が盗まれたことを明らかにしました。それだけでなく、保管庫内の要素(URLを含む)は暗号化されていませんでした。

前述の通り、LastPassは今回の侵害以前にもセキュリティインシデントに見舞われてきましたが、今回ほど衝撃的な事件はありませんでした。オンラインパスワードマネージャーの顧客は、たとえ暗号化されていても、データが不正アクセスされることはないと、サービスが十分に保護されていると一般的に信じています。侵害後に保管庫のデータが暗号化されていないと知ったのは、少々驚きでした。 

URL、エントリの使用頻度、エントリの最終更新日時など、一部の詳細情報が暗号化されないことには、エンジニアリングの観点から正当な理由があるのか​​もしれません。しかし、ここでLastPassが私の信頼を揺るがした2つ目の点について触れておきたいと思います。それは…

コミュニケーション不足

LastPassパスワード反復アップグレードメール

PCワールド

ですから、明らかに、非常に機密性の高い情報を保護するだけでなく、その情報に対する脅威に日常的に積極的に対処しながらビジネスを運営するには何が必要なのか私にはわかりません。 

しかし、良好なコミュニケーションは極めて基本的であり、即時性と完全な透明性が大きな役割を果たします。また、事前通知を適度に行うことも大きな効果を発揮します。LastPassが顧客にニュースを伝える方法は、これら3つの側面すべてにおいて大幅な改善の余地があります。

最近の例を見てみましょう。7月中旬、私は使用をやめようとしていたアカウントを最終確認するためにログインしたところ、パスワードの繰り返し回数が60万回に増加したというメッセージが表示されました。 

パスワードの繰り返し回数が多いことは、理論上は良いことです。パスワードを推測される可能性を低下させる効果があるはずです。現代の暗号規格では60万回が推奨されており、LastPassが顧客全員にそのレベルまで引き上げたのもおそらくそのためでしょう。 

しかし、これは2023年7月に起こった出来事です。つまり、12月に全員のVaultデータが盗まれたという暴露から6ヶ月後のことです。12月にその設定を確認しなかった人(私もそうでした)や、設定値を上げなかった人(私もそうしました)は、(私がいじる前の私のように)はるかに低いイテレーションのまま、半年が経過しました。

私の最初の考えが「今回はどのようなセキュリティ問題があって、このような事態が起きたのだろうか? 」だったことは、多くのことを物語っています。また、次に「なぜ今、このようなことが起きているのだろうか?」と思いました。

この変更を説明するメールが届いたのは、一体何が起こっているのかをすぐにネットで検索してから数時間後のことでした。そして翌日、別のメールが届きました。内容には、値上げのタイミングも、その動機も何も書かれていませんでした。

ウェブインターフェースは残念だ

LastPassウェブインターフェース

PCワールド

かつて、LastPassのウェブインターフェースはそこそこまともでした。最高に洗練されていたとは言えないかもしれませんが、十分モダンな印象でした。

最近では、競合のパスワードマネージャーと比べて、かなり簡素な作りになっているように感じます。また、時間の経過とともに小さな変更が加えられたため、ウェブインターフェースも劣化しています。最大の不満は、設定の維持に永続的なCookieに大きく依存していることです。シークレットモードでブラウジングすると、レイアウトが保存されず、常にLastPassのデフォルト表示に戻ってしまいます。 

バナーメッセージも頻繁に表示されます。もしかしたら私のつまらない癖なのかもしれませんが、ブラウザ拡張機能のバナーメッセージがずっと表示された時、ついに限界に達しました。LastPassには、私が使用したデバイスと、何年もの間、一貫してウェブインターフェースを使い続けた記録が保存されています。しつこく催促されても、この習慣を変えることはできません。

金庫のエクスポートは悪夢だ

LastPassエクスポート確認メール
不思議なことに、Web インターフェース経由でエクスポートするには検証プロセスを経る必要がありますが、ブラウザ拡張機能はすぐに CSV を吐き出します。

PCワールド

このセクションは、皆さん(と私の編集者)が読むことになると思い出すまで、かなり辛辣な言葉でいっぱいでした。袖をまくって、これから汚い詳細に踏み込みますので、どうぞお楽しみに。

サービスを離れる場合、その手続きをできるだけ簡単にして、いつかまた利用してくれる可能性を高めるように、事業者側がインセンティブを与えるだろうと思うかもしれません。LastPassはそうしようと努力していますが、一貫してそうではありません。そして幸運なことに、私はずさんなパスワードエクスポートを可能にする開発上の落とし穴に引っかかってしまいました。

通常、パスワードマネージャーを切り替える際は、保管庫のデータをCSVファイルまたはXMLファイルにエクスポートします。これらは、(少なくとも理論上は)異なるプログラム間で簡単に読み込める基本的なファイル形式です。LastPassは、この目的でCSV形式のみをエクスポートします。カンマ区切り値(CSV)形式の特徴は、(その名前から想像できる通り)カンマがデータの区切りを示すために使用されることです。

注: すべてのパスワードを CSV や XML などの暗号化されていない形式でエクスポートし、それをPC 上の暗号化されたフォルダーに保存すると、LastPass と新しいパスワード マネージャー間で移行するときにパスワードを保護できます。

はっきりさせておきたいのですが、私は何かがうまくいかないと、その理由を知りたいタイプです。エクスポートしたデータがめちゃくちゃで、孤立したデータを含むエントリが大量に出てきたときは、何が起こっているのか理解しようとしました。

最初は、テキストフィールドのカンマが根本的な原因だと思いました。もしかしたら、カンマが原因でエントリが分割され、別のエントリとして読み取られてしまう(しかも、データが間違ったフィールドで終わってしまう)のではないかと。しかし、それでは、カンマが全くないエントリが分割されてしまう理由や、他のエントリが単に欠落してしまう理由が説明できませんでした。

ウェブインターフェースからのLastPassの部分エクスポート
ウェブインターフェース経由のエクスポートではカンマは正しい位置に保持されますが、このテストアカウントの3つのエントリがCSVファイルにありません。ブラウザ拡張機能では、すべて正常にエクスポートされます。

PCワールド

データが信頼できないため、LastPass のオリジナルとすべてのエントリを手動で照合し終えても、まだ明確な答えは得られませんでしたが、混乱したデータをインポートしてクリーンアップする方が、新しいパスワード マネージャーですべてのエントリを最初から作成するよりも高速でした。

様々なブラウザやエクスポート方法(例えば、ウェブインターフェース経由とブラウザ拡張機能経由)を試してみましたが、混乱は解消されませんでした。ウェブインターフェースではすべてのエントリがエクスポートされない(Firefox)か、空のCSVファイルが返される(Chrome)ことが判明しましたが、FirefoxのウェブインターフェースからのエクスポートとChromeブラウザ拡張機能の両方で、データの整合性に関する同じ問題が発生しました。一方、テストアカウントでエクスポートを試みたところ、各エントリのデータフィールドは完璧に出力されました(ウェブエクスポートでは一部が欠落していましたが)。

私の知る限り、アカウントの古さがサーバー上でのデータの保存方法と解析方法に影響を与えているか、パスワード以外のテキストフィールドで特定の特殊文字を使用するとエクスポートスクリプトに何らかのバグが発生するかのどちらかです。いずれにせよ、すべてのパスワードが確実に無傷でエクスポートされているとは言い切れません。インポートを復旧させるという面倒な作業に何時間も費やした後、この作業を諦めてすべてのサービスのパスワードをリセットし、新しいパスワードマネージャーに取り込ませようかと真剣に考えました。LastPassのセキュリティ侵害を考えると、いずれにせよ最終手段としてそうするしかなかったはずですよね?

もう二度としない。

パスワード マネージャーの購入を検討している場合は、現在入手可能な最高のパスワード マネージャーをまとめた PCWorld のまとめを確認してください。

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.

Recommended Reading

iPhoneのアラームバグでヨーロッパで1時間遅れの起床

iPhoneのアラームバグでヨーロッパで1時間遅れの起床

EasyHDR Proで写真を印象的なハイダイナミックレンジ画像に変換しましょう

EasyHDR Proで写真を印象的なハイダイナミックレンジ画像に変換しましょう

別のPCへのバックアップ

別のPCへのバックアップ

You Might Also Enjoy

Excelの数式:最も人気のある関数とツール、例付き

Excelの数式:最も人気のある関数とツール、例付き

Googleは基本的なAI生産性ツールをBardとWorkspaceに組み込む

Googleは基本的なAI生産性ツールをBardとWorkspaceに組み込む

Microsoft Officeは成功し続けるために進化しなければならない

Microsoft Officeは成功し続けるために進化しなければならない

Popular Articles

Excelの数式:最も人気のある関数とツール、例付き
Twitter 広告はツイッターユーザーに影響を与えるか?
Windows 8タブレットがまだ売れ残っている4つの理由
LastPassを捨てました。パスワードマネージャーの切り替えは悪夢でした
Googleは基本的なAI生産性ツールをBardとWorkspaceに組み込む

Categories

Trending Topics

Health Nutrition Fitness Wellness Mental Health Diet Medical Research