Table of Contents

LastPass のセキュリティ侵害は、多くの企業がセキュリティの負担を顧客に負わせていることを思い知らせる厳しい警告です

世界最大のパスワードマネージャーがセキュリティ侵害を受けたことを知ると、私たち全員が不安になります。先週、LastPassは顧客に対し、攻撃者が開発環境にアクセスし、「ソースコードの一部とLastPass独自の技術情報」を盗んだとセキュリティ侵害について通知した。完全な開示:私は長年 LastPass を使用しています。顧客として、私はこのニュースを懸念しており、これが私のデータの侵害につながるのではないかと心配しています。LastPass は私のような顧客に対し、個人データが漏洩していないことを保証しています。同社の FAQ では、「当社では業界標準のゼロ ナレッジ アーキテクチャを採用しており、LastPass がお客様のマスター パスワードを把握したりアクセスしたりできないようにしています」と説明されています。これは少し安心できます。しかし同社は調査を続けており、 セキュリティ専門家は、さらなる暴露が今後起こると予想している。Transmit Security では、このニュースを喜ばしく思っていません。攻撃者がパスワード マネージャーを標的にした場合、すべての人にとってセキュリティ上の懸念が生じます。この侵害は、パスワードを完全に排除しない限り、私たちのアカウントは安全ではないことを厳しく思い出させるものです。それまでの間、この出来事から得られる貴重な教訓は、私たちがこれからどこへ向かうべきかを示してくれるでしょう。

事実:ハッカーはパスワードマネージャーを標的にする

サイバー犯罪者は、資格情報の宝庫から利益を得るために、パスワード マネージャーをハッキングすることに強い意欲を持っています。2011年以来、LastPass 7 回のセキュリティ侵害が発生しました。2015 年のさらに深刻なハッキングでは、攻撃者がネットワークにアクセスし、私のような顧客にはマスター パスワードを変更するようアドバイスされました。誤解のないように言っておくと、LastPass だけではありません。2021年、オーストラリアに拠点を置くパスワードマネージャー パスワード状態が侵害されました SolarWinds 攻撃と同様に、ハッカーがソフトウェア アップデートにマルウェアを挿入することによって発生します。アップデートをダウンロードした顧客のパスワードがすべて公開されました。サイバー犯罪者はセキュリティの欠陥を見つけるために懸命に努力しており、今回のケースではその努力が見事に報われました。2014年、カリフォルニア大学バークレー校の研究者らは LastPass と他の 4 つのパスワード マネージャー(RoboForm、My1login、PasswordBox (現在は Intel Security)、NeedMyPassword) にセキュリティ上の欠陥があります。私たちが受け入れなければならない厳しい教訓は、危険にさらされているのはパスワード マネージャーだけではないということです。悪者はパスワードが見つかるところならどこでもそれを狙います。侵害されたパスワードの大部分は、Web サイトの侵害や、フィッシング、またはユーザーを騙してパスワードを公開させるその他の手法によって発生します。サイバー犯罪者は、アカウントの乗っ取りや個人情報 (PII) の盗難に使用するパスワードを収集して販売します。

パスワードを要求する企業は間違っている

ここでのより重要な教訓は、パスワード マネージャーのユーザー向けではありません。実際、多くのサイトでパスワードを使用する必要があるため、私は引き続き LastPass を使用します。LastPass のような優れたパスワード マネージャーは非常に価値のあるサービスを提供しますが、このサービスは、それほど長く存続する必要はないはずです。代わりに、このレッスンは顧客にパスワードの使用を要求する企業向けです。ここでの問題は、単にセキュリティが不十分であるということではありません。パスワードを使用すると、見込み客が新しいアカウントを登録したり、顧客がログインして取引したりすることが難しくなります。結局、ブランドの価値が下がります。次のデータポイントを考慮してください。

  • 消費者の64.5% ユーザー名とパスワードの作成を求められた場合はウェブサイトを放棄する
  • 消費者の24% サイト側がアカウント作成を要求したため、オンラインショッピングカートを放棄した
  • ジェネレーションZの49% パスワードを忘れた場合、オンライン購入を中止する
  • 77%の人が 身体的な生体認証を使用するときに最も安全だと感じると答えた。
  • 62%の人が オンラインで財務や支払いを管理する際の顧客体験が向上すると述べた。

パスワードを要求するのをやめる時が来ました。
 

パスワードの代替手段は何ですか?

多くのパスワードレス認証方法は、サービスとそのユーザーに対してはるかに高いレベルの保証を提供します。しかし、特に効果的なのは次の 1 つです。 FIDO2 ベースの生体認証は、指紋または顔の生体認証を使用して、非常に使いやすく強力な多要素認証を実現します。私たちのほとんどは、すでに生体認証を使用してスマートフォンやラップトップのロックを解除しています。FIDO2 認証では、同じ生体認証を使用してデバイス上の暗号キーのロックを解除し、Web サイトやアプリに安全にログインします。これにより、セキュリティの弱さと顧客エクスペリエンスの低下という問題が同時に解決されます。パスワードの代替手段の詳細については、こちらをご覧ください。パスワードレスは、FIDO2 や生体認証以上のものであることを覚えておいてください。企業では、生体認証を使用する準備ができていない、または使用できない人のために、パスワードなしの認証オプションを幅広く提供していることがよくあります。マジックリンク、時間ベースのワンタイムパスコード (TOTP)、SMS OTP、ソーシャルログインはすべて、ほとんど誰でも使用できるパスワードレス (またはパスワードレス) 認証の形式です。これらの方法は、さまざまなレベルのセキュリティ保証を提供しますが、一般的には再利用可能なパスワードよりも強力であり、企業は顧客アカウントの乗っ取りのリスクを最大限に排除できます。パスワードレスセキュリティについて詳しく知りたい場合は、 パスワード不要の購入者ガイド

Author