「LastPass」の版間の差分
最近の情報を反映 |
|||
| 19行目: | 19行目: | ||
| status = |
| status = |
||
| genre = [[パスワードマネージャー]] |
| genre = [[パスワードマネージャー]] |
||
| license = [[プロプライエタリ |
| license = [[プロプライエタリソフトウェア|プロプライエタリ]] |
||
| website = {{url|lastpass.com}} |
| website = {{url|lastpass.com}} |
||
}} |
}} |
||
2020年12月23日 (水) 22:19時点における版
 | この項目「LastPass」は翻訳されたばかりのものです。不自然あるいは曖昧な表現などが含まれる可能性があり、このままでは読みづらいかもしれません。(原文:英語版22:17, 7 April 2013(UTC)) 修正、加筆に協力し、現在の表現をより自然な表現にして下さる方を求めています。ノートページや履歴も参照してください。(2013年4月) |
 | |
| 開発元 | LastPass |
|---|---|
| 初版 | 2008年8月22日 |
| 最新版 |
4.1.44
/ 2017年3月31日 |
| 対応OS | クロスプラットフォーム |
| 対応言語 | 多言語 |
| 種別 | パスワードマネージャー |
| ライセンス | プロプライエタリ |
| 公式サイト |
lastpass |
LastPass Password ManagerとはLastPassが開発したフリーミアムのパスワード管理サービス。Google Chrome、Mozilla Firefox、Microsoft Edge、Opera、Safariのプラグインとして利用可能なだけでなく、他ブラウザ向けにLastPass Password Managerのブックマークレットもある。
ユーザーパスワード管理をクラウドに集中することで「パスワード疲れ」問題を解決しようとしている。
2015年10月にLastPassはLogMeIn (NASDAQ: LOGM)に買収された[1]。
概要
LastPass Password Managerにあるパスワードはマスターパスワードで保護、ローカルで暗号化され、他のブラウザと同期される。また、ユーザー名とパスワードの入力フォームに対応するそれぞれのユーザー名とパスワードの自動入力や、パスワードの生成、サイトの共有やログ取りも行える。
2010年12月2日、LastPassはブックマークシンクロナイザーのXmarksを買収した[2]。LastPassのパスワード管理技術はインターネットセキュリティ企業であるWebrootの最も新しいセキュリティスイートにある「アイデンティティとプライバシー」機能に統合されているが、ライセンス契約の全文は明らかにされなかった[3]。
機能
- 1つのマスターパスワード
- ブラウザ間同期
- 安全なパスワード生成
- パスワード暗号化
- フォーム自動入力
- パスワードのインポート、エクスポート
- ポータブルアクセス
- マルチファクター認証
- 指紋照合
- クロスプラットフォームアベイラビリティ
- モバイルアクセスが可能[4]
ソースコード
クローズドコードだが、非バイナリモードで動作することのできる多くのエクステンションのソースが利用可能である。それでもLastPassは全権利を保持している。
LastPass Password Managerの開発者の1人であるサミールはソフトウェアの理論的整合性はオープンソース無しで検証できることを主張し、開発者はLastPass Password Managerのユーザインタフェースを将来オープンソースして開くことができると言及した[5]。
評価
2009年3月、PC MagazineはLastPass Password Managerをパスワード管理における「エディターズ・チョイス」に選出した[6]。 またDownload Squad[7]、Lifehacker[8]、Makeuseof[9]にも取り上げられている。
LastPass Password Managerのセキュリティモデルはスティーブ・ギブソンが自身のSecurity Nowポッドキャストエピソード256で取り上げ大いに称賛した[10]。
セキュリティ問題
2011年5月3日火曜日、LastPassは自身の受信ネットワークトラフィックに異常を発見、その後送信ネットワークトラフィックにも同じような異常を発見した[11]。管理者は従来のセキュリティ欠陥(例として非管理者が管理者権限を取得した証拠を残していないデータベースログ)を示す特徴は見つからなかったものの、異常の根本的な原因を特定することはできなかった。さらに、異常の重大さを考えると電子メードアドレス、サーバーのソルト、ソルトされたパスワードのハッシュがLastPassのサーバーから流出した可能性が取り沙汰され、対処として異常の発生したサーバーを撤去し再構築した。2011年5月4日、全ユーザーにマスターパスワードの変更を要請した。しかし、結果としてユーザートラフィックはログインサーバーを圧倒してしまい、一時的に管理者は追加の通知が有るまでマスターパスワードの変更作業を中止するように求めたが、パスワード流出の可能性は明確に小さくなったとかんがえられるようになっていった。LastPassはまた顧客情報流出の直接的な証拠は無いが用心に越したことはないと述べた[12]。これらの予防措置により、以降顧客情報損失やパスワード流出は検証報告されていない。コメント6にて、ジョー・シーグリストは「確かに賢明」と言った上で第三者監査に委託。しかし、監査による結果はこれまでに発表されていない。
XSSの脆弱性
2011年2月、セキュリティ研究者のマイク・カードウェルによってクロスサイトスクリプティング(XSS)のセキュリティホールが発見され、責任をもって報告、数時間内に塞いだ[13]。しかし、低リスクと見なされるほど軽いもので、ログ検索では搾取的利用(カードウェル以外による)の証拠は出なかったが、セキュリティホール塞ぎに加えて、LastPassはさらなるセキュリティ改善のための追加手段としてHTTP Strict Transport Security (HSTS)(カードウェルの提言による)、X-Frame-Optionsの、多層防御を提供するためのコンテントセキュリティポリシーのようなシステムが実装された[13][14]。
類似サービス
脚注
- ^ “LogMeInがLastPassを買収 | スラド セキュリティ”. security.srad.jp. 2020年8月17日閲覧。
- ^ LastPass Acquires Xmarks!, LastPass blog, (2010-12-02)
- ^ Automation, partnerships drive Webroot revamp cnet.com 2010-07-26.
- ^ https://lastpass.com/mobile/
- ^ Sameer's commentary on making lastpass open source
- ^ LastPass 1.50 Review & Rating | PCMag.com
- ^ Is Lastpass as good as they make it sound?
- ^ LastPass Adds Form Filler, Syncs Form Profiles and Passwords
- ^ Securely Synchronize Your Browser Passwords With LastPass
- ^ Security Now 256: LastPass Securityまたはこのビデオの0:52:44でLastPass Password Managerのレビューが流れている
- ^ LastPass Security Notification
- ^ LastPass Security Notification(Archive)
- ^ a b https://grepular.com/LastPass_Vulnerability_Exposes_Account_Details (Archived by WebCite® at http://www.webcitation.org/68ciU4CSm)
- ^ http://blog.lastpass.com/2011/02/cross-site-scripting-vulnerability.html (Archived by WebCite® at http://www.webcitation.org/68ciTQ93c)