2022年のLastPassハッキングとサイバー強盗の関連が明らかに!
引用元:https://news.ycombinator.com/item?id=43296656
1Passwordは、全てのボールトを高いエントロピーの秘密鍵で暗号化する選択肢がマジで評価されてないよね。UXやサポートの負担はかかるけど、これがあればこんな breach はほぼ無意味になる。
Bitwardenは完全にオープンソースで、サーバーコードの独立した実装(Vaultwarden)があることがもっと評価されるべきだよね。デスクの下のサーバーで動かせるのは便利。50年後、どの会社が残ってるか分からないけど、孫が私のパスワードを含むgpg暗号化されたgzippedファイルを開けるようにするつもり。
50年後にデジタル考古学をやるなんて面白そうだよね。今はデジタルで多くのアウトプットが保存されてるけど、今までの経験から、仕事や楽しみで作るものはほぼ儚いと思ってる。
今のファイルフォーマットのいくつかは長持ちすると思うな。PDFやzip、jpegなどは100年後も普通に開けると思うよ。
ファイルはまだ残ってると思う?長い目で見れば、紙よりも人に焦点を当てたシステムになる気がする。
> Bitwardenは完全にオープンソースで評価されるべきだよね。
それが彼らの一番の売りポイントだよ。
> 50年後に残るかは分からないけど、1Passwordはローカルクライアントがあるから、パスワードがあればローカルでボールトを開けられるよ。
これをどうやってやるの?airgappedのLinuxマシンに「1password-cli」をインストールしたけど、’op vault list’を実行すると、アカウントを追加しろって言われる。’op account add’ではネットに接続しないとダメで、進めない。ローカルクライアントが機能しないのはどういうこと?
一度認証すればいいよ。そうすればローカルにボールトを取得して、インターネットなしでアクセスできるから。
「ローカルにボールトを取得する」とはどういう意味?ファイルをエクスポートして、USBキーやCD-ROM、未来のisolinerチップに保存して、新しく作ったPCでインターネットに接続せずにスタンドアロンのビューワーで開くことは可能?
1Passwordは昔はそうやって動いてたんだ。今はどれだけ残ってるか分からないけど、元々はリモートコンポーネントがないアプリだった。ボールトは自分で管理するもので、ほとんどの人はDropboxに置いてどこでもアクセスできるようにしてた。ボールトには暗号化された秘密を読むためのhtmlファイルも入ってた。
自分の解決策を試してみて!ほんとにローカルファーストでオフラインでも大丈夫だし、セルフホスティングも可能だよ。オープンソースだし、APIのドキュメントも整ってるよ。
50年後に誰かがこれをできる可能性はほぼゼロじゃない?パスワードやSSHキーはただの平文だし、特別なSDKやCLIが必要なのが良いアーキテクチャだとは思えないよ。
重要な暗号データの長期保存についてだけど、50年後に1Passwordが無くなった場合、孫たちがローカルの1Passwordを使ってデータを復号できる可能性はどう思う?gpgは残ってるだろうし、gzippedやCSVファイルは開けるだろうけど。
>でも、孫たちがgpgで暗号化されたgzippedファイルを開けると思う。あなたは、孫が技術に詳しい前提?99%の人は「gpg」で止まると思うけど、今だけじゃなくて60年後にも。
自分の家族の中で「Netflixのパスワードはこれ、gpgで復号すればいいよ」って言ったら、誰が「じゃあman gpg読むよ」ってなると思う?
多分、ゼロだね。非SWEの人たちにとってgpgって使いにくいんだから。
AIに聞けばどうにかなるって思わない?今のLLMでも手順を教えてくれるよ。
もし大金がかかってたら、みんな結構リソースフルになるんじゃない?Netflixのパスワードじゃなくてさ、証券会社や銀行のアカウントの情報の話だから。
彼らはAIに復号してもらうだろうし、gpgを使う必要はないよ。
AIにセキュリティアドバイスを求めるなって。家族や友達に”AIに聞いてみて”って言うのは、彼らが重要な情報を失ったり盗まれたりする危険があるから、ちゃんと理解させる必要があるよ。
「Hey llm、どうやってこのファイルを開くの?」って考えるのはナンセンスだよ。そんな簡単なことをできなくなるとは思えない。 マジで、簡単にtarコマンドを探せた日々が懐かしい。これからはllmに聞くことになるのかな。 >「99%の人は’gpg’で立ち止まると思う」 でも子供たちはgpgやpgpのことを理解できるかどうか怪しいな。テクニカルな知識が身につかないかも。 bitwardenのクライアントがオフラインで使えないのは残念だな。すぐに1Passwordから乗り換えたいのに。 KeePassをsyncthingのフォルダに入れて、開いたら自動で同期する仕組み使ってる。デスクトップアプリが一時ファイルコピーで開ければ、もっと簡単にできるかも。 bitwardenの独自性はオープンソースで自己ホスティングできることだけなのかな?他のサービスも見てるけど、1Passwordから乗り換える理由がまだ見つからない。 それに、機能や仕上がりの面でもLastPassよりも優れてるよ。1Passwordは使ったことないけど、BitWardenをLastPassよりおすすめする。 それだけじゃなくて、安いし全プラットフォームで動作も良いよ。 OPじゃないけどUXって超大事だよね。オープンソースで自ホストできる選択肢がほしいけど、過去にBitwardenを評価した時は1Passwordに比べて大幅に劣ってて切り替える気になれなかった。もし体験がもっとシームレスになったら乗り換えるつもり。 これな。1Passwordは洗練されてて使いやすい。Bitwardenも機能面では1Pに劣らないけど、なんか動作がぎこちない。 1Passwordのファミリー共有やCLIも使いやすい。たまにBitwardenを見るけど、UI的にはいつも1Pほど洗練されてない。1PがElectronに移行したことへの不満もあったけど、UXはやっぱり最強だよね。 >ファミリー共有 私はAmazonやSteam使ったことないから、どういう風になるのか分からないけど、パスワード管理ではファミリー共有がすごく便利。Bitwardenには“組織”って機能があって、無限に作れるし、ユーザーを招待して参加させることができる。例えば、妻と一緒にスーパーのアカウントで買い物できたり、電力会社のウェブポータルに両方でログインできたりして、パスワードをお互いに送り合う手間が省けるんだ。 ファミリー共有自体は悪くないけど、「ファミリー」って言葉が気に入らない。あなたのケースには合ってるかもしれないけど、周りの人たちはそうじゃない。NetflixやSteam、Kindleの共有、いろんなWebサービスのパスワード共有を考えると、完全に「ファミリー」や「家庭」と一致しない人々もいるよ。 「ファミリー」ってのはこの文脈では人間的でユーザーフレンドリーな、企業っぽくない「グループ」ってことじゃない? Proton Passは完全にオープンソースで、とても使いやすく、アメリカ外でホスティングされてるのが評価されるべきだと思う。こんな感じで自分の保管庫を失いたくないもん。 Proton Passを自ホストするにはどうすればいいの?サーバーのソースコードを探してるけど、見つからない。完全オープンソースなら利用可能なはずじゃない? それって、復旧のシナリオで全部失うことになるんじゃない?コンピュータが火事や洪水でダメになったら、リカバリーキーも失うし、パスワードがあってもデータベースを復旧するのには不十分。自分はkeepassxcを使ってて、長めのパスワードと高いPBKDFの反復回数を設定してるから、デバイスが失われても問題ない。 LastPassは侵害を軽視してたけど、データの暗号化が不十分で失敗してた。責任を取らずに逃げてるのは許せない。今後LastPassを使ってるなら、1PasswordやBitwarden、Keepassに移るべきだよ。大事なパスワードをすぐに変更してね。 彼らは本当に訴えられてるから知っておいて。クラスアクションで、この件に関して15回も訴えられている。 数年前にBitWardenに移行したけど、ほとんどストレスなかったよ。LastPassからのエクスポートも簡単で、UIの小さな癖に慣れればすぐに使える。 1Passwordを数年間使ってて満足だけど、バージョン7以降からは無料のiCloudストレージよりも有料のクラウドサービスを強制されたのが残念。 Strongboxを強くおすすめする。KeePass DBを使っていて、UIは1Passwordよりも優れたところもあるし、自分のデータを所有できる。唯一の欠点は、DB全体を検索する機能がないところ。 彼らはApplauseに買収されたこと注意してね。 >“基本的にクラウド提供を強制されたってこと”そこが1Passwordをやめた理由。自分と家族のために膨大なライセンスを購入してたから、残念だった。 Bitwardenは1Passwordのデータをインポートする際に、すべてのデータタイプに対応してるの? それはないよ。LastPassから移行した時に両方使ったけど、Bitwardenは4、5タイプのエントリしかサポートしてなくて、Rich entry typesはほぼNotesに変わった。 今のAppleのUKでのやり方だと、1Passwordに任せた方が安心。彼らの目的はパスワードを守ることだから、裏切ることはないだろうし、機能も増えてる。 >Appleの今のUKでの対応がどうなるか気になるな。政府の命令に逆らうべきだったのか?それとも完全に閉鎖すべきだったのか。今は裁判で戦ってるし。 Appleを批判するわけではなく、UKの要求があるから鍵を預けるのは信用できないってことだよね。 まあイライラするけど、それによって収益が増えて新機能に投資できるから文句なし。バージョン6以降の提供される機能には満足してるし。月数百円払うのはお得な気がする。 新機能を無理に使わせようとする感じが嫌でBitWardenに乗り換えた。もう元には戻れない。 1Passwordは良い選択だと思う。 LastPassのハックでパスワードが流出した理由が分からない。1Passwordはユーザーのパスワードと秘密鍵の2つがないと解除できないはず。LastPassはどう違うの? LastPassは1Passwordの秘密鍵の概念を使ってなくて、ユーザーのパスワードから生成された鍵だけを使ってるから、ハッキング後に手遅れでハッシュ反復回数を増やした。 なるほど、ありがとう! 他の人が言っているように、LastPassは暗号化されてないメタデータも保存していて、これが攻撃者のターゲットを絞るのに役立った。 LastPassはパスワードを知ってたけど、1Passwordは知らなかったってこと?それなら1Passwordの方が安全? LastPassはパスワードを推測できれば暗号化されたボールトを解読できる情報を持ってるってことだね。1Passwordはパスワードに加えて、個人の秘密の鍵も推測する必要があって、鍵生成がちゃんとしてればかなり無理ゲーなんだよ。だからユーザーがその秘密鍵を管理しないといけないんだ。 デバイス間でボールトを共有する場合、どうなるの? 初期設定時に各デバイスに秘密鍵を渡さなきゃいけないんだ。その後はパスワードだけで大丈夫。 もし海外でデバイスが全部盗まれたり失くなったらどうするの? >あなたは1Passの緊急キットから秘密鍵を取って誰かに連絡しないといけないんだよね。どこに保管したかにもよるけど。長い数字の列を暗記できるなら別だけど。 それはもっと大きな問題を抱えてるってことだね。 それってどういう意味?今この瞬間にも旅行者がその状況に陥ってるかもよ。 これが1Passwordの緊急キットの理由だよ。秘密鍵を記録して安全に保管できるようにしてる。どうやって保管するかは個人の好みと“脅威レベル”次第だね。銀行の金庫に保管したり、複数のコピーを作って枕の下に置いたり、写真を撮ったり、メールに保存するなど色々ある。 そうでもないよ。この状況で一番重大で緊急な問題はパスワードにアクセスできなくなること、それによって銀行や電子コミュニケーションが使えなくなるってことなんだ。 LastPassで2FAがある場合はどうなるの? 2FAは、もしデータが漏れた場合、暗号化とは関係ないんだよね。 俺の理解だと、鍵の強度が低すぎたのかな。2FAが鍵の強度を上げるなら、影響があるはずじゃない? 2FAは鍵の強度を上げない。鍵はパスワードからだけ導き出されるし、2FAはパスワードを知ってる人のアクセスを制限するだけ。LastPassの漏洩はバックアップのものだったから、2FAには意味がないね。 俺は2013年ごろの2回目の大きなセキュリティ侵害の後、LastPassから離れたんだ。Wikipediaには3件しか載ってないけど、少なくとも5回は見たことがある。それでも企業では使われ続けていて、毎回驚いてるんだよね。5回も騙されたって感じ? なんでこれが合法なの?今やビジネス慣行みたいになってるじゃん。政府は食中毒でレストランを閉店させるのに、ここでは何もしないの?お金は悪い国に流れてるのに。 仕事が下手なのは違法じゃないと思うけど(情報セキュリティのこと)、LastPassが繰り返し無能であることに対して公然と非難されないのは悲劇だね。 LastPassは二つを結びつける証拠がないって言ってるけど、正直信じがたいのは、何百万ドルも持ってる人たちが年に一回もパスワードを変えないってことだよね。パスワードのローテーションはもうベストプラクティスじゃないけど、このケースではまだ賢明な気がする。 派生ウォレットのシードフレーズは変更できないよ。新しいのを作って資産を移す必要がある。 うん、シードフレーズを保存してる会社がハッキングされたら、絶対に新しいのを作るべきだよ。 ここでの暗号についての議論がより深く技術的になってきて嬉しいな 私、ローカルのKeepassXCを見つめながら落ち着いてそれを使い続けてる。もっとコメントを表示(1)
gpgを馬鹿にしないで。25年間使ってるけど、ちゃんと暗号化も復号化もできる。新しい工具も確かに安全だけど、使い勝手が良いとは限らない。長く使えるものの重要性を理解してほしい。
なんでこんな機能を作るのか分からん。AmazonやSteamもファミリーフィーチャーを強制するけど、ユーザーやその家族の実際の使い方に合ってなくて、何かと限定的に感じる。実際、SteamやAmazonの“ファミリー共有”に家族がいる人ってどれくらい?もっとコメントを表示(2)
もっとコメントを表示(3)
