先月5月31日、あるハッカーグループがDashlaneの二要素認証を突破し、20人未満のユーザーの暗号化された保管庫にアクセスしました。保存されたパスワードは暗号化によって保護されていますが、実際のリスクはマスターキーが弱い場合に現れます。攻撃者は時間制限なく解読を試みることができます。パスワード管理ツールの安全性は、ほぼ完全にそのたった一つのパスワードに依存しています。
攻撃の仕組みと今すぐ確認すべきこと 🔐
問題は保管庫の暗号化自体にあるのではなく、ソーシャルエンジニアリングやセッションの悪用によって突破された多要素認証にあります。侵入後、攻撃者は保管庫をコピーし、マスターキーに対してオフラインでブルートフォース攻撃を実行できます。Dashlaneは既に影響を受けたユーザーに通知し、アカウントの承認済みデバイスを確認するよう推奨しています。マスターキーが短かったり一般的だったりする場合、解読にかかる時間は劇的に短縮されます。
高級な暗号化、しかし露店の錠前付き 🔑
まるでチタン製の金庫にプラスチックの錠前が付いているようなものです。パスワードの暗号化は強固ですが、マスターキーが123456だった場合、ハッカーはコーヒーを飲みながらそれを破ることができます。Dashlaneはセキュリティを謳っていますが、結局のところ、誕生日やペットの名前を使わないかどうかに全てがかかっています。そのキーを変更しなければ、あなたのパスワード管理ツールは単なる飾り物と化します。