🔗 Notice of Recent Security Incident – The LastPass Blog
少し前に、パスワード管理アプリのパスワードデータが不正アクセスされた問題について、パスワード情報をクラウドに保存して大丈夫なのか? で言及しました。
個人的には、パスワードファイル(暗号化されていても)をクラウドに保存することはお勧めしません。ですが、もし保存するのであれば、パスワードファイルに複数の鍵を掛けておくべきでしょう。冒頭の記事にもありますが、一般的に、パスワードファイルそのものに「パスワード」が掛けられているのですが、これだけでは不安です。そのため、例えば「キーファイル」のような鍵の役割を持つファイルも持っていないとパスワードが見られないようにしておけば、より安心です。このキーファイルはクラウドには置かず、その端末側だけに保存して使います。
このサイトでも紹介している KeePass には、この機能があります。
冒頭の記事にある LastPass というアプリに、このような機能はなかったのでしょうか? もしあったとしたら、パスワードファイルをクラウドに置く場合は、その機能の利用を必須にするべきだったと思います。