LastPassは1月2日(米国時間)、「LastPass Is Making Account Updates. Here’s Why」において、2024年1月よりマスターパスワードの文字数制限を強化し、すべてのユーザーに対し、12文字以上のマスターパスワードを使用するように要求する方針を発表した。
本稿執筆時点で12文字未満のマスターパスワードを使用している場合、新しいポリシーに準拠したマスターパスワードを作成するように求められる。この制限は2024 年1月末に向けてユーザーの種類ごとに段階的に展開されるという。
マスターパスワードの文字数要件が強化される背景
LastPassでは、2022年8月に発生した不正アクセス事件以降、セキュリティ強化の施策の一環としてアカウント保護ポリシーの強化を図ってきた。その一つとして、2023年4月にすべてのユーザに対してマスターパスワードのリセットを推奨する通知を送信している。リセットにあたっては、特殊文字を含む少なくとも12文字以上で、かつ再利用していない一意のパスワードを使用するように要求していた。
今回の文字数要件の強化はこの施策の延長にあたる。上記の通知に従ってマスターパスワードのリセットを実施している場合、新しいポリシーに準拠していることになるため、追加でのアクションは不要だという。マスターパスワードのリセットを実施しておらず、新しいポリシーに準拠していないユーザーに対して、12文字以上のマスターパスワードの使用を要求するメールが送られる。
新しいポリシーの強制は、最初に無料、Premium、およびFamiryアカウントのユーザに対して実施される。続いて、TeamsおよびBusinessアカウントのユーザにも通知が送られる。
マスターパスワードの推奨事項
LastPassでは、マスターパスワードの設定について次のベストプラクティスを考慮するように推奨している。この推奨事項は、ただポリシーに準拠するよりも一段階高い安全性を考慮したものである。
- 12文字よりもさらに長い文字列を使用する
- 大文字、小文字、数値、特殊文字の値をそれぞれ少なくとも1つ使用する
- 覚え易かったり簡単に推測できないものにする
- 自分にしか分からないものにする
- メールアドレスをマスターパスワードとして使用しない
- 個人情報をマスターパスワードとして使用しない
- 連続した文字や同じ文字の繰り返しを使用しない
- マスターパスワードを他のアカウントやアプリケーションに再利用しない
マスターパスワード侵害の新対策
マスターパスワードの文字数制限の強化に加えて、LastPassでは、新しく設定するマスターパスワードが既に侵害されたアカウントのパスワードと一致しないことを確認する即時チェックも開始する予定だという。
この即時チェックは、過去にDark Web上に漏洩した認証情報のデータベースと照合することで行う。もし過去に侵害された形跡のあるパスワードが検出された場合、警告のポップアップを表示し、別のパスワードを選択するように要求するという。この機能は2024年2月より実装される予定となっている。