フィッシング攻撃に使われる から。例えば↓のような忠告になる。

https://twitter.com/snipeyhead/status/1606116796477513728

ブラウザ拡張やブラウザ内蔵のパスワードマネージャには、パスワード入力欄のドメインを照合し、過去にパスワードを入力したことのないドメインにはパスワードを補完 しない 機能が存在する。このような安全機構が急に失われるため、パスワードマネージャの使用を止めた元LastPassユーザーはフィッシングの格好のターゲットと言える。

... これ明かにブルートフォース可能性よりも危険だと思うんだけど、本家 https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/ の報告でもブルートフォースを真っ先に触れていてあんまり良くない傾向な気がする。

そもそも何故URLを非暗号化フィールドにしたのか

アナリティックスを売るためとか。。？

例えば1Passwordは個人用アカウントには暗号化されないフィールドは無く、セッション期限が切れるとどのようなサイトでも補完プロンプトは期限切れのものに統一される。

(どのようなサイトでもこのプロンプトが出る)

サイトURLを非暗号化フィールドとすることで、自身が補完できるサイトでだけプロンプトできるようになる。 ...というのがそこまで重要な要素だとはちょっと思えないな。。

暗号化自体もヤバい?

https://gigazine.net/news/20221228-lastpass-statement-explain/

Gigazineの記事で知ったけどLastPassには過去にも数々の問題が指摘されていて、フィールドの暗号化モードがECBモードってマジなんですかね。。

https://infosec.exchange/@epixoip/109585049354200263