스마트폰 앱이나 브라우저 확장 기능으로 출시되고 있는 "LastPass"는, 하나의 마스터 비밀번호만 기억해도 다양한 사이트의 아이디와 비밀번호를 관리할 수 있는 인기 비밀번호 매니저이지만, 과거에는 소스코드나 개인정보 등이 유출되는 사건이 일어난 적이 있었기 때문에, 보안 강화의 일환으로 LastPass가 사용자에게 견고한 비밀번호로의 변경을 필수로 할 것임을 사용자에게 공지했다.
LastPass에 따르면, 이전부터 LastPass에서는 12글자 이상의 마스터 패스워드 설정이 기본이었지만, 지금까지는 사용자가 하려고 하면 12글자 미만의 문자 수의 패스워드로도 사용할 수 있었다고 한다.
2023년 4월 이후, 계정의 신규 생성이나 비밀번호 갱신 시 12자 이상의 비밀번호가 필요했지만, 2024년 1월부터는 옛 계정을 포함한 모든 계정에서 12자 이상의 비밀번호가 의무화된다고 LastPass가 X(구 Twitter)로 발표.
이 정책의 변경은 2023년 9월에 통지된 것으로, 시행이 가까워짐에 따라 이번에 다시 통보된 형태이며, 이미 비밀번호가 12글자 이상인 사용자는 따로 할 필요가 없지만, 비밀번호가 짧은 사람에게는 비밀번호 변경 알림이 순차적으로 서비스 내에 나타난다.
알림은 2024년 1월 8일부터 Free, Premium, Families 플랜 사용자에게 보내지며, 이후 1월 하순 법인용 Teams와 Business에도 적용. 비밀번호 변경 메시지를 받은 사람은, 72시간 이내에 새로운 마스터 비밀번호를 설정해야 하며, 이를 게을리하면 모든 장치의 LastPass 서비스에서 강제 로그아웃되며, 다시 로그인하려면 비밀번호를 리셋해야 한다.
로그아웃을 하더라도, 현재 비밀번호를 기억하는 사람이라면 신구 비밀번호를 입력하고 비밀번호를 갱신하면 문제가 없고, 또한 비밀번호를 잊어버려도 계정 복구 옵션을 설정하고 있으면, 새로운 비밀번호를 설정할 수 있다.
그러나, IT계열 뉴스사이트 PC World에 따르면, 비밀번호를 갱신하지 못한 채 72시간이 지나면 계정이 완전히 잠겨, 복구 가능성이 없어진다고 하기 때문에, 현재 마스터 비밀번호를 잊어버려도 방치하지 말고 메시지를 받은 지 72시간 이내에 비밀번호를 리셋하고 비밀번호를 재설정하라고 PC World는 당부.
또한, LastPass는 새로운 비밀번호를 설정할 때 참고로 아래의 베스트 프랙티스를 제시하고 있다.
. 12문자는 어디까지나 최저이므로, 그 이상의 문자수가 권장된다
. 대문자, 소문자, 숫자, 특수문자를 각각 적어도 1개씩 사용할 것
. 패스 프레이즈처럼 외우기 쉽고, 추측하기 어려운 것을 사용한다
. 자신만이 알고 있는 것으로 한다
. 메일 주소를 마스터 패스워드로 하지 말 것
. 마스터패스워드에 개인정보를 포함시키지 말 것
. "1234"등의 연속된 문자나 "aaaa"등의 반복은 사용하지 않는다
. 마스터 패스워드를 다른 어카운트 등과 사용하지 않는다
