「LastPass」が12文字以上のパスワードを強制すると発表、ロックアウトされて詰む可能性があるため注意

by Focal Foto

スマートフォンアプリやブラウザ拡張機能としてリリースされている「LastPass」は、1つのマスターパスワードを覚えておくだけでさまざまなサイトのIDとパスワードを管理できる人気のパスワードマネージャーですが、過去にはソースコードや個人情報などが流出する事件が起きたことがあります。セキュリティ強化の一環として、LastPassがユーザーに強固なパスワードへの変更を必須にすることをユーザーに告知しました。

LastPass Is Making Account Updates. Here’s Why - The LastPass Blog
https://blog.lastpass.com/2024/01/lastpass-is-making-account-updates-heres-why/

Change your LastPass password before you get locked out | PCWorld
https://www.pcworld.com/article/2191833/change-your-lastpass-password-before-you-get-locked-out.html

LastPassによると、以前からLastPassでは12文字以上のマスターパスワード設定がデフォルトだったものの、これまではユーザーがやろうと思えば12文字未満の文字数のパスワードでも使用できたとのこと。

2023年4月以降、アカウントの新規作成やパスワードの更新の際には12文字以上のパスワードが必要となっていましたが、2024年1月からは古いアカウントを含むすべてのアカウントで12文字以上のパスワードが義務づけられると、LastPassがX(旧Twitter)で発表しました。

このポリシーの変更は2023年9月に通知されたもので、実施が近づいたため今回改めて通告された形です。すでにパスワードが12文字以上のユーザーは特に何もする必要はありませんが、パスワードが短い人にはパスワード変更の通知が順次サービス内に表示されます。

通知は2024年1月8日からFree、Premium、Familiesのプランのユーザーに送られ、その後1月下旬に法人向けのTeamsとBusinessにも適用されます。パスワード変更のメッセージを受信した人は、72時間以内に新しいマスターパスワードを設定しなくてはならず、これを怠るとすべてのデバイスのLastPassサービスから強制ログアウトされ、再度ログインするにはパスワードをリセットしなくてはならなくなります。

ログアウトしても、現在のパスワードを覚えている人であれば新旧のパスワードを入力してパスワードを更新すれば問題ありません。また、パスワードを忘れてしまってもアカウント回復オプションを設定していれば新しいパスワードを設定することが可能です。

しかし、IT系ニュースサイトのPCWorldによると、パスワードを更新できないまま72時間が経過するとアカウントが完全にロックアウトされ、復旧の見込みがなくなるとのこと。そのため、現在のマスターパスワードを忘れてしまっても放置せず、メッセージを受信してから72時間以内にパスワードをリセットし、パスワードを再設定するようPCWorldは呼びかけました。

また、LastPassは新しいパスワードを設定する際の参考として、以下のベストプラクティスを提示しています。
・12文字はあくまで最低であるため、それ以上の文字数が推奨される。
・大文字、小文字、数字、特殊文字をそれぞれ少なくとも1つずつ使用すること。
・パスフレーズのように覚えやすく、かつ推測されにくいものを使う。
・自分だけが知っているものにする。
・メールアドレスをマスターパスワードにしないこと。
・マスターパスワードに個人情報を含めないこと。
・「1234」などの連続した文字や「aaaa」などの繰り返しは使わない。
・マスターパスワードを他のアカウントなどと使い回さない。