2024年1月4日、LastPass は全ユーザーに対し、パスワードの最小文字数を12文字以上に設定するよう要求しています。2022年の大規模なセキュリティ侵害以降、同社はセキュリティ強化に取り組んでおり、今回の措置はその一環です。以前は既存ユーザーにはこの要件が強制されていませんでしたが、2024年1月からは全てのアカウントでこの基準を満たす必要があります。
パスワード変更の通知は段階的に行われ、サービス内で表示されます。通知を受け取った後、72時間以内に新しいマスターパスワードを設定する必要があります。設定しない場合、すべてのデバイスからログアウトされ、新しいパスワードを設定するまでログインできません。まずは無料、プレミアム、ファミリーの消費者アカウントが1月8日から通知され、ビジネスおよびチームユーザーは1月末に続きます。
新しいパスワードを覚えていない場合でも、アカウント回復を設定していれば、新しいパスワードの設定が可能です。LastPass は、回復方法として、確認リンクと、以前のログイン時に生成された回復用ワンタイムパスワードを使用します。確認リンクはデフォルトでメールアドレスに送信されますが、安全性を高めるために電話番号をアカウントに追加することもできます。
しかし、現在のパスワードを忘れてアカウント回復も設定していない場合は、72時間のウィンドウが終了すると完全にロックアウトされます。この状況を避けるためには、パスワードを忘れた場合は72時間のウィンドウが終了する前にパスワードリセットを実行することが重要です。また、パスワードを覚えている場合でも、指示される前に更新することをお勧めします。
LastPassのパスワードを変更するには、アカウント設定にアクセスします。ウェブでは、右上のユーザー情報をクリックし、「アカウント設定」を選択します。ブラウザ拡張機能では、アカウントアイコンをクリックし、同じく「アカウント設定」を選びます。LastPassは、新しいパスワードを忘れた場合に備えて、まずアカウント回復方法の設定を強く推奨しています。そして、より長く安全なパスワードを作成することをお勧めします。
また、LastPassは、新規またはリセットされたマスターパスワードを、過去のデータ侵害で漏洩したパスワードと照合し、侵害されたことが知られている資格情報の使用を許可しないと発表しました。
これらのセキュリティ向上策とコミュニケーションの強化により、LastPassは 競合他社に追いつく道を進んでいます。しかし、アップデートの展開が遅いため、完全に追いつくまでにはもう少し時間がかかるかもしれません。もしかすると、LastPassから別のパスワードマネージャーに切り替えることを検討する価値があるかもしれません。