LastPass

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動
LastPass Password Manager
LastPass logo 2016.svg
開発元 LastPass
初版 2008年8月22日 (2008-08-22)
最新版 4.1.44 / 2017年3月31日(2年前) (2017-03-31
対応OS クロスプラットフォーム
対応言語 多言語
種別 パスワードマネージャー
ライセンス プロプライエタリ
公式サイト lastpass.com
テンプレートを表示

LastPass Password ManagerとはLastPassが開発したフリーミアムパスワード管理サービスであり、Internet ExplorerMozilla FirefoxGoogle ChromeOperaSafariのプラグインとして利用可能になっているだけでなく、他ブラウザ向けにLastPass Password Managerのブックマークレットもある。

ユーザーパスワード管理をクラウドに集中することで"パスワード疲れ英語版"問題を解決しようとしている。

概要[編集]

LastPass Password Managerにあるパスワードはマスターパスワードで保護、ローカルで暗号化され、他のブラウザと同期される。また、ユーザー名とパスワードの入力フォームに対応するそれぞれのユーザー名とパスワードの自動入力や、パスワードの生成、サイトの共有やログ取りも行える。

2010年12月2日、LastPassはブックマークシンクロナイザーのXmarksを買収した[1]。LastPassのパスワード管理技術はインターネットセキュリティ企業であるWebrootの最も新しいセキュリティスイートにある「アイデンティティとプライバシー」機能に統合されているが、ライセンス契約の全文は明らかにされなかった[2]

機能[編集]

  • 1つのマスターパスワード
  • ブラウザ間同期
  • 安全なパスワード生成
  • パスワード暗号化
  • フォーム自動入力
  • パスワードのインポート、エクスポート
  • ポータブルアクセス
  • マルチファクター認証
  • 指紋照合
  • クロスプラットフォームアベイラビリティ
  • モバイルアクセスが可能[3]

ソースコード[編集]

クローズドコードだが、非バイナリモードで動作することのできる多くのエクステンションのソースが利用可能である。それでもLastPassは全権利を保持している。

LastPass Password Managerの開発者の1人であるサミールはソフトウェアの理論的整合性はオープンソース無しで検証できることを主張し、開発者はLastPass Password Managerのユーザインタフェースを将来オープンソースして開くことができると言及した[4]

評価[編集]

2009年3月、PC MagazineはLastPass Password Managerをパスワード管理における「エディターズ・チョイス」に選出した[5]。 またDownload Squad[6]Lifehacker[7]、Makeuseof[8]にも取り上げられている。

LastPass Password Managerのセキュリティモデルはスティーブ・ギブソン英語版が自身のSecurity Nowポッドキャストエピソード256で取り上げ大いに称賛した[9]

セキュリティ問題[編集]

2011年5月3日火曜日、LastPassは自身の受信ネットワークトラフィックに異常を発見、その後送信ネットワークトラフィックにも同じような異常を発見した[10]。管理者は従来のセキュリティ欠陥(例として非管理者が管理者権限を取得した証拠を残していないデータベースログ)を示す特徴は見つからなかったものの、異常の根本的な原因を特定することはできなかった。さらに、異常の重大さを考えると電子メードアドレス、サーバーのソルト、ソルトされたパスワードのハッシュがLastPassのサーバーから流出した可能性が取り沙汰され、対処として異常の発生したサーバーを撤去し再構築した。2011年5月4日、全ユーザーにマスターパスワードの変更を要請した。しかし、結果としてユーザートラフィックはログインサーバーを圧倒してしまい、一時的に管理者は追加の通知が有るまでマスターパスワードの変更作業を中止するように求めたが、パスワード流出の可能性は明確に小さくなったとかんがえられるようになっていった。LastPassはまた顧客情報流出の直接的な証拠は無いが用心に越したことはないと述べた[11]。これらの予防措置により、以降顧客情報損失やパスワード流出は検証報告されていない。コメント6にて、ジョー・シーグリストは「確かに賢明」と言った上で第三者監査に委託。しかし、監査による結果はこれまでに発表されていない。

XSSの脆弱性[編集]

2011年2月、セキュリティ研究者のマイク・カードウェルによってクロスサイトスクリプティング(XSS)のセキュリティホールが発見され、責任をもって報告、数時間内に塞いだ[12]。しかし、低リスクと見なされるほど軽いもので、ログ検索では搾取的利用(カードウェル以外による)の証拠は出なかったが、セキュリティホール塞ぎに加えて、LastPassはさらなるセキュリティ改善のための追加手段としてHTTP Strict Transport Security (HSTS)(カードウェルの提言による)、X-Frame-Optionsの、多層防御を提供するためのコンテントセキュリティポリシー英語版のようなシステムが実装された[12][13]

類似サービス[編集]

脚注[編集]

外部リンク[編集]