LastPass

パスワード管理サービス

LastPass Password ManagerとはLastPassが開発したフリーミアムパスワード管理サービスGoogle ChromeMozilla FirefoxMicrosoft EdgeOperaSafariのプラグインとして利用可能なだけでなく、他ブラウザ向けにLastPass Password Managerのブックマークレットもある。

LastPass Password Manager
LastPass logo 2016.svg
開発元 LastPass
初版 2008年8月22日 (2008-08-22)
最新版
4.85.1 / 2021年12月7日 (5か月前) (2021-12-07)
対応OS クロスプラットフォーム
対応言語 多言語
種別 パスワードマネージャー
ライセンス フリーミアム
公式サイト lastpass.com
テンプレートを表示

ユーザーパスワード管理をクラウドに集中することで「パスワード疲れ」問題を解決しようとしている。

2015年10月にLastPassはLogMeIn (NASDAQ: LOGM)に買収された[1]

2021年10月14日にLogMeInはLastPassを独立させると発表した。[2]

概要編集

LastPass Password Managerにあるパスワードはマスターパスワードで保護、ローカルで暗号化され、他のブラウザと同期される。また、ユーザー名とパスワードの入力フォームに対応するそれぞれのユーザー名とパスワードの自動入力や、パスワードの生成、サイトの共有やログ取りも行える。

2010年12月2日、LastPassはブックマークシンクロナイザーのXmarksを買収した[3]。LastPassのパスワード管理技術はインターネットセキュリティ企業であるWebrootの最も新しいセキュリティスイートにある「アイデンティティとプライバシー」機能に統合されているが、ライセンス契約の全文は明らかにされなかった[4]

2021年2月17日、LastPassは2021年3月16日から無料版についてデバイスタイプを1つに限定すると発表した。無料版ではユーザはPCかモバイルいずれかを選択して利用することになる。また、2021年5月17日からは無料版でのメールサポートを終了する。[5]

機能編集

  • 1つのマスターパスワード
  • ブラウザ間同期
  • 安全なパスワード生成
  • パスワード暗号化
  • フォーム自動入力
  • パスワードのインポート、エクスポート
  • ポータブルアクセス
  • マルチファクター認証
  • 指紋照合
  • クロスプラットフォームアベイラビリティ
  • モバイルアクセスが可能[6]

ソースコード編集

クローズドコードだが、非バイナリモードで動作することのできる多くのエクステンションのソースが利用可能である。それでもLastPassは全権利を保持している。

LastPass Password Managerの開発者の1人であるサミールはソフトウェアの理論的整合性はオープンソース無しで検証できることを主張し、開発者はLastPass Password Managerのユーザインタフェースを将来オープンソースして開くことができると言及した[7]

評価編集

2009年3月、PC MagazineはLastPass Password Managerをパスワード管理における「エディターズ・チョイス」に選出した[8]。 またDownload Squad[9]Lifehacker[10]、Makeuseof[11]にも取り上げられている。

LastPass Password Managerのセキュリティモデルはスティーブ・ギブソン英語版が自身のSecurity Nowポッドキャストエピソード256で取り上げ大いに称賛した[12]

セキュリティ問題編集

2011年5月3日火曜日、LastPassは自身の受信ネットワークトラフィックに異常を発見、その後送信ネットワークトラフィックにも同じような異常を発見した[13]。管理者は従来のセキュリティ欠陥(例として非管理者が管理者権限を取得した証拠を残していないデータベースログ)を示す特徴は見つからなかったものの、異常の根本的な原因を特定することはできなかった。さらに、異常の重大さを考えると電子メードアドレス、サーバーのソルト、ソルトされたパスワードのハッシュがLastPassのサーバーから流出した可能性が取り沙汰され、対処として異常の発生したサーバーを撤去し再構築した。2011年5月4日、全ユーザーにマスターパスワードの変更を要請した。しかし、結果としてユーザートラフィックはログインサーバーを圧倒してしまい、一時的に管理者は追加の通知が有るまでマスターパスワードの変更作業を中止するように求めたが、パスワード流出の可能性は明確に小さくなったとかんがえられるようになっていった。LastPassはまた顧客情報流出の直接的な証拠は無いが用心に越したことはないと述べた[14]。これらの予防措置により、以降顧客情報損失やパスワード流出は検証報告されていない。コメント6にて、ジョー・シーグリストは「確かに賢明」と言った上で第三者監査に委託。しかし、監査による結果はこれまでに発表されていない。

XSSの脆弱性編集

2011年2月、セキュリティ研究者のマイク・カードウェルによってクロスサイトスクリプティング(XSS)のセキュリティホールが発見され、責任をもって報告、数時間内に塞いだ[15]。しかし、低リスクと見なされるほど軽いもので、ログ検索では搾取的利用(カードウェル以外による)の証拠は出なかったが、セキュリティホール塞ぎに加えて、LastPassはさらなるセキュリティ改善のための追加手段としてHTTP Strict Transport Security (HSTS)(カードウェルの提言による)、X-Frame-Optionsの、多層防御を提供するためのコンテントセキュリティポリシー英語版のようなシステムが実装された[15][16]

類似サービス編集

脚注編集

  1. ^ LogMeInがLastPassを買収 | スラド セキュリティ” (日本語). security.srad.jp. 2020年8月17日閲覧。
  2. ^ パスワード管理のLastPassが再び独立運営に 来年機能追加も” (日本語). 2021年12月16日閲覧。
  3. ^ LastPass Acquires Xmarks!, LastPass blog, (2010-12-02), http://blog.lastpass.com/2010/12/lastpass-acquires-xmarks.html 
  4. ^ Automation, partnerships drive Webroot revamp cnet.com 2010-07-26.
  5. ^ パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須にITmedia NEWS
  6. ^ https://lastpass.com/mobile/
  7. ^ Sameer's commentary on making lastpass open source
  8. ^ LastPass 1.50 Review & Rating | PCMag.com
  9. ^ Is Lastpass as good as they make it sound?
  10. ^ LastPass Adds Form Filler, Syncs Form Profiles and Passwords
  11. ^ Securely Synchronize Your Browser Passwords With LastPass
  12. ^ Security Now 256: LastPass Securityまたはこのビデオの0:52:44でLastPass Password Managerのレビューが流れている
  13. ^ LastPass Security Notification
  14. ^ LastPass Security Notification(Archive)
  15. ^ a b https://grepular.com/LastPass_Vulnerability_Exposes_Account_Details (Archived by WebCite® at http://www.webcitation.org/68ciU4CSm)
  16. ^ http://blog.lastpass.com/2011/02/cross-site-scripting-vulnerability.html (Archived by WebCite® at http://www.webcitation.org/68ciTQ93c)

外部リンク編集