LastPassは6月15日(現地時間)、同社が運営するパスワード管理サービス「LastPass」から電子メールや認証ハッシュなど一部の情報が流出したことを発表しました(公式ブログ、ITmedia、CNET Japan)。
流出した情報は、ユーザーのemailアドレス、パスワードリマインダ、ユーザーごとのサーバーソルト、認証ハッシュなど。ただしこれまでのところ、これらの情報を悪用し、LastPassアカウントへの不正なアクセスが行われたり、ユーザー保管庫のデータが盗まれた形跡はないとされています。同社は、認証ハッシュに関して、PBKDF2-SHA256を使った強力な暗号化を施しており、総当たり攻撃に対しても十分な強度を持っていると説明しています。
ただし、マスターパスワードが「12345678, password1, mustang, robert42, iloveyou」のような類推可能なパスワードである場合や、パスワードリマインダからすぐに推測可能な、弱いパスワードである場合、マスターパスワードの変更が推奨されています。
ネットでは、パスワードを一元管理するオンラインパスワードサービスの危険性を危惧する意見や、反対に、情報が流出してもそれが即ユーザーのリスクにつながらないセキュリティ管理の確かさを賞賛する声が上がっています。
