複数のIDやパスワードの管理を手助けしてくれるパスワード管理ツール「LastPass」のブラウザ拡張機能に、最後に利用したサイトの認証情報が漏れてしまうバグがあることが報告されました。
攻撃者がバグを悪用したクリックジャッキングを行うと、LastPassを用いて最後に入力したサイト認証情報が抜き取られる恐れがあるとのこと。
認証情報の管理って、ザルな人は同じパスワードを使いまわす一方、
真剣に考える人は恐らくパスワード管理ツールの利用にたどり着くのではなかろうか?
パスワード管理ツールを使うメリットは幾つかある。
まず、サイトごとにパスワードを変えられる点。
頭でパスワードを記憶するのは数パターンが限界。
そこで、パスワード管理ツールに記憶させる。
そうすると、自分で記憶する必要がなくなるので、各サイトごとにパスワード生成が可能となる。
そうすると、どこか1か所でパスワードがハッキングされると、他のサイトでも芋づる式に不正アクセス(パスワードリスト攻撃)を許してしまう事態を回避できる。
各サイトごとにパスワードを設定すると、意外なメリットが出てくる。
それは、万一パスワードが漏洩した際、どのサイトから漏れたのかが分かるようになる点。
以前パスワードが本文に記載された脅迫メールが送られてきたのだが、逆のその記載パスワードからどのサイトから漏れたのかを知ることができた。
(ただ、当然のごとく、漏洩元は漏洩を否定するのだが・・・・)
パスワード管理ツールのバグで情報が漏洩すると洒落にならないので、自分はセキュリティ企業であるトレンドマイクロ社の「パスワードマネージャー」を使用している。
※月額154円なので、何気に「LastPass」より安かったりする。。。
結構便利だが、若干クセのあるツールで、保存できない形態のパスワード(銀行系にある取引パスワードとか)もあるため、フリーソフトの「ID Manager」をサブで併用している。