クラウド型パスワードマネージャーは異なる機器からパスワードへアクセスでき、家族と共有する機能も提供します。これらはオンラインバンキングやクレジットカードのログインなど機密性の高い情報を暗号化されたボールトに保存するため、セキュリティが極めて重要です。
ETH ZurichのApplied Cryptography Groupの研究チーム(Matilda Backendal、Matteo Scarlata、Kenneth Paterson、Giovanni Torrisi)がBitwarden、LastPass、Dashlaneを調査しました。三社は合わせて約60 millionの利用者にサービスを提供し、23%の市場シェアを持ちます。研究者らはサーバーが侵害され悪意を持って振る舞う場合の挙動を模した環境で検証し、Bitwardenに対する12件、LastPassに対する7件、Dashlaneに対する6件の攻撃を実証しました。これらの攻撃は特定ユーザーのボールトを狙うものから組織内のすべてのボールトを乗っ取るものまで多様で、通常のログイン、ボールトの開封、パスワード表示、データ同期など利用者が行う単純な操作を悪用しました。
研究チームは、使いやすさのための機能追加がコードを複雑化し攻撃対象を広げている点や、多くの提供者が古い暗号技術を現在も使っている点を指摘しました。研究者は公開前に提供者へ連絡し、修正のために90日間の猶予を与える責任ある開示を行いました。Patersonは多くの提供者が協力的だったが、すべてが迅速に対応したわけではないと述べ、研究が業界の変化を促すことを望んでいると語りました。
- 推奨事項:新規顧客向けにシステムを更新すること。
- 既存顧客には移行の選択肢を提供すること。
- セキュリティについて透明性を保つこと。
- 利用者は外部監査を受けているマネージャーや、既定でエンドツーエンド暗号化が有効なものを選ぶべきです。
難しい単語
- 暗号化する — 情報を読み取れない形に変えること暗号化された
- ボールト — パスワードや秘密情報を保存する場所
- 侵害する — 権限のない人がシステムに入ること侵害され
- 責任ある開示 — 問題を公開前に提供者に伝える手続き
- エンドツーエンド暗号化 — 送信者と受信者だけが読める仕組み
- 市場シェア — 企業が占める販売や利用の割合
- 乗っ取る — 他人のアカウントやシステムを支配する
ヒント:記事中の強調表示された単語にマウスオーバー/フォーカス/タップすると、その場で簡単な意味が表示されます。
ディスカッション用の質問
- 使いやすさのための機能追加がコードを複雑化し攻撃対象を広げると言われています。企業は使いやすさと安全性のどちらを優先すべきだと思いますか?理由を述べてください。
- 責任ある開示(問題を公開前に提供者に伝える手続き)には利点と欠点があります。どんな利点と欠点があると思いますか?具体例を挙げて説明してください。
- この記事を読んで、パスワードマネージャーを選ぶときに最も重視したい点は何ですか?自分の経験や理由を含めて答えてください。
