【緊急悲報】パスワード管理ツールにパスワード漏洩の脆弱性 1Password4、1Password7、LastPass等

1: 名無しさん@涙目です。(catv?) [ニダ] 2019/02/26(火) 23:13:24.12 ID:ikmJANyj0 BE:323057825-PLT(12000)

あるAnonymous Coward曰く、 複数のパスワード管理ツールに脆弱性があり、パスワードを盗み出す攻撃が可能という調査結果が発表された(ITmedia、ZDNet、Slashdot)。

この調査結果によると、「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」といったパスワード管理ツールで、
それぞれを起動させた状態でメモリをスキャンすることで生パスワードを取得できる可能性があるという。

一方でこれらツールを提供する4社「この問題を解決すれば、もっと大きなセキュリティリスクが発生する」
「この問題による現実的な脅威は限られている」などと反論しているという。

複数のパスワード管理ツール、メモリスキャンでパスワード読み取れると指摘
https://www.zaikei.co.jp/article/20190226/497104.html

64: 名無しさん@涙目です。(東京都) [GB] 2019/02/27(水) 00:52:28.76 ID:6N/aKh8V0
>>1
おい馬鹿やめろ

4: 名無しさん@涙目です。(関東・甲信越) [US] 2019/02/26(火) 23:18:09.14 ID:TvXqh2E7O
なんでこういう最大級に重要なものの管理を他(人)任せにするのか

7: 名無しさん@涙目です。(新疆ウイグル自治区) [JP] 2019/02/26(火) 23:20:28.86 ID:a117kfO70
Chromeに全部預けてるわ

107: 名無しさん@涙目です。(catv?) [US] 2019/02/27(水) 08:40:50.06 ID:Xckjs8xs0
>>7
俺も
自動生成には助けてもらってる

11: 名無しさん@涙目です。(新疆ウイグル自治区) [CN] 2019/02/26(火) 23:23:02.82 ID:HVHpFfX00
暗号(管理ソフト)→平文(拾い出す)→暗号化通信(アプリケーション間)
→平文(受け取ったアプリケーション)→暗号化通信(クライアント・サーバ間)
この平文部分で拾うって話でしょ
ローカルに置くタイプの管理ソフトならあんまり心配ないし
そこで平文部分が拾われてしまうってことは既に乗っ取られている状態じゃないですか

12: 名無しさん@涙目です。(大阪府) [GB] 2019/02/26(火) 23:24:11.24 ID:UMKiL/PX0
パスワードを忘れるほうがよっぽどの問題。

13: 名無しさん@涙目です。(神奈川県) [ニダ] 2019/02/26(火) 23:25:07.79 ID:YHaaPQJl0
そんなもん、パスワード管理は手書きメモが永久に勝利に決まってんだから
パスワード管理ソフトとか使うなよ

16: 名無しさん@涙目です。(庭) [FR] 2019/02/26(火) 23:27:52.25 ID:v9KQz8DC0
>>13
同意
本末転倒

14: 名無しさん@涙目です。(catv?) [JP] 2019/02/26(火) 23:25:51.22 ID:ofl1nV240
パスワード管理?な時点で疑うべきだよなw
そんなもんメモ帳にでも書いておけ

15: 名無しさん@涙目です。(SB-iPhone) [KR] 2019/02/26(火) 23:26:31.98 ID:roojwfMu0
指でも目でもいいから生体認証にしてくれ

17: 名無しさん@涙目です。(中部地方) [US] 2019/02/26(火) 23:29:07.46 ID:m1odbscf0
Appleに全部預けてる

18: 名無しさん@涙目です。(沖縄県) [US] 2019/02/26(火) 23:30:06.36 ID:Qb7q1/Ew0
メモリスキャンされる状態ってすでに感染済みじゃねえの

19: 名無しさん@涙目です。(広西チワン族自治区) [US] 2019/02/26(火) 23:31:26.63 ID:7LTwkQx/O
管理ソフトなんか怖くて使えねーわ

21: 名無しさん@涙目です。(福岡県) [JP] 2019/02/26(火) 23:32:42.01 ID:GvH2H3RP0
この問題にベストは無いが
紙に書いて保管、結局これがベター

22: 名無しさん@涙目です。(チベット自治区) [US] 2019/02/26(火) 23:33:53.16 ID:X9y1Gy6T0
俺のパス全部1111

23: 名無しさん@涙目です。(catv?) [JP] 2019/02/26(火) 23:35:55.85 ID:ofl1nV240
パスワード管理にはPostItしか使ってない

27: 名無しさん@涙目です。(中国地方) [US] 2019/02/26(火) 23:37:11.97 ID:gz73BKUF0
外付けハードディスクにメモ帳突っ込んどけばいい

125: 名無しさん@涙目です。(SB-iPhone) [BR] 2019/02/27(水) 12:03:20.19 ID:k93B3NBp0

>>27
>外付けハードディスクにメモ帳突っ込んどけばいい

まさかだけど、外付けならスキャンされないと思ってない?

29: 名無しさん@涙目です。(福岡県) [US] 2019/02/26(火) 23:39:55.76 ID:o2sO1VQ50
ツールが必要なほど変える必要ある?

32: 名無しさん@涙目です。(東京都) [US] 2019/02/26(火) 23:41:45.63 ID:54gBrVAf0
>>29
あるよ

31: 名無しさん@涙目です。(東日本) [US] 2019/02/26(火) 23:41:26.72 ID:0VI8C/O10
パスワードの意味を理解してないんだろ

33: 名無しさん@涙目です。(新疆ウイグル自治区) [AE] 2019/02/26(火) 23:43:00.49 ID:sYFwssSQ0
ノートンのやつでいいじゃん

34: 名無しさん@涙目です。(大阪府) [US] 2019/02/26(火) 23:44:00.79 ID:MVuhNAdJ0
もうパスワードを生体認証かUSB、wifiで一発認証できる機器できんかね

35: 名無しさん@涙目です。(神奈川県) [US] 2019/02/26(火) 23:44:56.11 ID:l1QKRkyE0
パスワード解析ツールを使うと12桁でも2秒で突破出来る

37: 名無しさん@涙目です。(長屋) [DE] 2019/02/26(火) 23:45:22.34 ID:ecGoVQfi0
紙に書く、これ最強

38: 名無しさん@涙目です。(dion軍) [CA] 2019/02/26(火) 23:45:36.68 ID:JNy2nUbY0
クラウドも使うやつの神経疑う

40: 名無しさん@涙目です。(大阪府) [US] 2019/02/26(火) 23:47:01.23 ID:3buc9qjI0
もうYubiKeyとか使うしか無いんじゃ?

41: 名無しさん@涙目です。(東日本) [US] 2019/02/26(火) 23:48:11.02 ID:UIEQQc0D0
abcdeでテキスト保存して
実際は
a1b1c1d1e1
間に数字を挟むとか

43: 名無しさん@涙目です。(家) [US] 2019/02/26(火) 23:49:40.42 ID:wZjx1mXZ0
パスワード管理ツールとか情弱しか使わんだろ
あんなもんツールの作者にパスワード公開してるのと同じだぞ

44: 名無しさん@涙目です。(中部地方) [US] 2019/02/26(火) 23:50:07.70 ID:E8xnfD3e0
スマホとかのパスワード管理アプリって絶対作者にパス抜かれてるよね

45: 名無しさん@涙目です。(北海道) [CN] 2019/02/26(火) 23:52:27.84 ID:a1wb4l5o0
OneDriveにIDM突っ込んで快適

46: 名無しさん@涙目です。(庭) [KR] 2019/02/26(火) 23:54:05.56 ID:0+rr9IUG0

ブラウザクラッシュした時、
『不具合を報告してください』って画面になってYesクリックするとメモリの中身全部送信するよ。
昔から言われてた事だが。

不具合発生した時は、デフォルト設定で勝手にメモリ送信するアプリもあるよ。

165: 名無しさん@涙目です。(大阪府) [ニダ] 2019/02/28(木) 10:32:02.21 ID:Xvn4SacW0
>>46
クラッシュした原因のアプリのメモリ領域だけじゃないの?
セキュアなのは暗号化されてたりで、大丈夫じゃない?
まあいつも送らないようにしてたけど。

57: 名無しさん@涙目です。(大阪府) [US] 2019/02/27(水) 00:14:27.29 ID:vZQyIqW50

>ただしISEは、パスワード管理ツールを使わないよう勧告しているわけではなく、「パスワード管理ツールは使った方がいい」という前提は変えていない。
その上で、「パスワード管理ツールのメーカーはユーザーの秘密を守るために追加的な対策を講じる必要がある」と述べ、ユーザーに対しては、パスワード管理ツールを使っていないときは、完全に終了させるなどのベストプラクティスを提言している。

結局使った方がいいのか
起動したままにすんなよと

100: 名無しさん@涙目です。(空) [NL] 2019/02/27(水) 08:25:54.69 ID:KK9tI2mv0
>>57
使うのは低能だけだよ

61: 名無しさん@涙目です。(東京都) [ニダ] 2019/02/27(水) 00:38:36.81 ID:B5TJOur40
メモリスキャンされてたら何したって無理だろ
キー入力も取得されるわけだし

62: 名無しさん@涙目です。(catv?) [CA] 2019/02/27(水) 00:44:56.01 ID:AQYpaypB0
ネットバンクとネット証券は長い長い長いパスワードを紙に手書きしてる
金が絡まないものは使いまわしてるのが多いな。もっとポータルIDと連結してくれれば手間が省けるのに

63: 名無しさん@涙目です。(大阪府) [CN] 2019/02/27(水) 00:49:28.00 ID:OywUPP0T0
バカすぎて笑うw

65: 名無しさん@涙目です。(福岡県) [US] 2019/02/27(水) 00:54:16.73 ID:UiiUrf380
一方俺は紙にメモった

67: 名無しさん@涙目です。(大阪府) [NO] 2019/02/27(水) 01:05:24.58 ID:HGHJeBMV0
KeePassがないと自分のパスワードなんてメモで記録しておくしかなくなる
各社各様パスワードの規則が違うんだもん
いまだに英数字6文字だったり、他だと記号必須だったり…
全部2段階認証にしてくれ

70: 名無しさん@涙目です。(徳島県) [US] 2019/02/27(水) 01:38:30.32 ID:RDRtxB9V0
どんだけ特殊な状況だよ

74: 名無しさん@涙目です。(東京都) [GB] 2019/02/27(水) 02:30:57.51 ID:L3g6r7IH0

こういうの脆弱性っていうのかな
keepassの場合、アプリができることはやってる
使うときだけ起動して立ち上げっぱなしにしない、あと平文表示しないのがユーザーができる対策か

一般論として、
・パスワード/パスフレーズはできるだけ長くてよりランダムな文字列を
・サービスごとに異なるパスを。使い回しは漏れたときの被害が大きくなるので厳禁よ
・定期変更はしなくていい
・二段階認証とか使えるならいいんじゃね
・(まともな)パスワード管理ソフトはいいものだ

75: 名無しさん@涙目です。(茨城県) [CN] 2019/02/27(水) 03:03:58.35 ID:PtvUSrA60
いや保存してる時点で当たり前だろ

76: 名無しさん@涙目です。(北海道) [CN] 2019/02/27(水) 03:11:07.40 ID:T/7hvIII0
ブラウザに記憶させてるわ

80: 名無しさん@涙目です。(大阪府) [MX] 2019/02/27(水) 03:54:57.00 ID:RN+sXrk+0
ドングリ使うのが最強なんだよ雑魚が

85: 名無しさん@涙目です。(魔女の百年祭) [US] 2019/02/27(水) 04:59:53.78 ID:bfFM5i6G0
めちゃくちゃな文字入力してChromeに記憶させてるわ
自分すら覚えていないのでChromeから漏洩しない限り大丈夫

88: 名無しさん@涙目です。(家) [ニダ] 2019/02/27(水) 05:11:45.47 ID:WsjfnSu20
>>85
キャッシュ削除で全部消えたらどうすんのん

99: 名無しさん@涙目です。(チベット自治区) [US] 2019/02/27(水) 08:22:14.95 ID:4zfB8q3m0
>>88
アカウントに同期すればいい
chrome自体をアンインストールしてもアカウントに残ってる

87: 名無しさん@涙目です。(神奈川県) [JP] 2019/02/27(水) 05:09:17.93 ID:kAGbHgls0
Gmailさんに覚えてもらってるオレ最強

引用元

管理人からひと言

頭の中に入っている

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

フォローする

スポンサーリンク
スポンサーリンク