名もなき未知

エンジニアリングとか、日常とかそういうのをまとめる場所。アクセス解析のためGAを利用、Googleに情報を送信しています。商品紹介のためAmazonアフィリエイトを利用、Amazonに情報を送信しています。記事に関しては私が書いていない引用文を除いて自由にご利用ください。

LastPassのマスターパスワードリセットで焦った話

ポエム

アドベントカレンダー12日目です(大幅遅刻) https://adventar.org/calendars/8021

先日、こんなことがありましたね。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

なのでLastPassのパスワードをアップデートしようとしたのですが、あやうく登録情報をすべて失うところだったので記録のために残しておきます。

スターパスワードをリセットするぜ!

https://support.lastpass.com/help/change-your-master-password-lp020001

このページの通りでOKで、スマホアプリからやるとブラウザが開いてそこで入力するような形になります。

いつも通り乱数を作って貼るか~で張って更新しました。

ここまでは良かったんですけどね。

更新後のパスワードがどこにも残っていない

クリップボードにコピーしたつもりだったんですが、消えてました。おわた…

なのでパスワードのリセットに挑戦します。

SMSを使ったパスワードのリセット

https://support.lastpass.com/help/recover-your-lost-master-password-lp020010

これの通りです。今回はSMSを使ったパスワードリセットにします(これ自身は事前設定しておいて本当に良かったです)

https://support.lastpass.com/help/how-do-i-reset-my-master-password-using-sms-account-recovery-for-lastpass

で、家に帰ってからPCで操作して見ました。 メールアドレス入力→SMSにコードが届くので入力→recoveryボタンを押す、こんな感じです。

しかし4回やってだめでした。 というかキャッシュ消すなって書かれてたのにキャッシュ消したりしてて全然ダメでしたね(ちゃんと注意を英語で読むべし…)

スマホアプリから更新したのでスマホから更新した、つまりスマホでやるべきなのでは?となり、スマホからチャレンジしてパスワードの復旧ができ、何とかログインできました。

が、ここで悲劇が起きます。

ダイアログが大きすぎて見えないので、ピンチしようとしてみようとしたらブラウザバックした

ログイン後のマスターパスワードのリセット、PCデスクトップ表示と同じなんですよね…。 (通常経路の場合はスマホに最適化されたパスワードリセットな感じなので、問題にはならなかった)

スマホ上から切れているダイアログを動かして読もうとしたらブラウザバックしました。そしてブラウザバックした後は戻れないという…w

仕方がないのでもう一度最初から操作しようとします。

SMSの送信上限に引っかかる

同じ操作をしようとしてもSMS認証が通らなくなりました。

メールが届いておりSMSの送信は制限かかったからよろしくね、しばらく後で試してねと書かれていました。

10分後、1時間後に試しても同じ結果だったので、どれくらいかかるんだ?と思って調べたら1日くらい待てとのことでした。

https://community.logmein.com/t5/LastPass-Support-Discussions/LastPass-account-recovery-error-You-tried-sending-too-many-SMS/m-p/294741

つまり1日パスワード補完なし生活(そして自分はほとんどのパスワードを乱数にしているので、今ログアウトしたら何も入れない生活)が始まりましたとさ。

ダイアログの対策

調べてみたところLastPassの公式でのリセット方法が紹介されていました。 そこでPC晩のダイアログの情報を拾えたので、新パスワード、新パスワードの確認、通知先、の3つが入力情報だとわかりました。

YouTubeで公開してくれてるの本当にありがたい。 https://www.youtube.com/watch?v=6TsBPj7yBv0

そして1日たった今

同じようにSMS認証してパスワードを元のものに戻した状態で更新して、事なきを得ましたとさ。

その後、PCからバックアップを取りつつリセットしました。

今後の対策

LastPassのパスワードリセットはPCでやります… UIがPCでしか使い物にならないので…

まあ普段マスターパスワードそんなにリセットしてないので、これはこの運用で何とかなりそうですけどね。

あと一応念のためバックアップにどこかメモを取る→マスターパスワード更新にしようと思います…(さすがに焦ったので) あんまりメモでパスワード残さないほうがいいという説はありますが、2段階認証にしているのでその点は大丈夫だと思っています。

1日びくびくしながら過ごした感想

とにかくスマホChromeのキャッシュが消えたら終わると思っていて、スマホChromeは絶対起動しないようにしてました(誤操作が怖すぎるため)

あとはタッチ感度とかも調整しましたが、なんかだめな感じでした。うーん、ブラウザの横スクロールが難しすぎるので、ブラウザの横スクロールするようなUIで提供しているサービスはやべーのかもなと思いました。

あとは映画見に行こうと思いましたが、パスワードリセットめんどくさいなと思って行かなかったので消費行動にも影響が出てしまいましたとさ(かがみの孤城行くつもりでした)。

他にも何かに登録して見たいものがあるなーとか思いましたが、何に登録するかも忘れました。

パスワード自分で覚えるのコストが高すぎるので(prefix + 何か白のパターン + suffix とかで入れてたけど、登録サイトが100超えたあたりからしんどくなってしまって管理できなくなった。そもそもパスワード文字列長さや、使える記号の制限、生成制限などがサイトごとにバラバラすぎて無理げー)外部記憶装置を適切に利用できている例かなと思いました。

まああとは重要なものについては2段階認証入れておくのがよさそうですね。簡単に入られても困るし。

まとめ

久々に本当に焦って、話や仕事に集中できない状態でよくなかったです。 しかしこれでログインできなくなると、ほとんどのサイトのID/PASS再発行に加え、何に登録してるかも思い出す必要があります。

何に登録してるかは上位20サイトくらい(Amazonとか)は思い出せるものの、月1、年1のサービス(えきねっととか)だとかなり厳しめです。

とりあえず今は復旧できたことに安心しつつも、今後もこの手の管理については改めて考えていきたいと思います。