クラウドベースのパスワードマネージャー（Dashlane、LastPass）とフェデレーションログイン（OpenID、Google、Yahoo、Microsoft、Facebook）のセキュリティ

これを確認する少なくとも1つの方法は、フェデレーションする予定のIDプロバイダー（IDP）に対してターゲットサイトで提供される認証の強度と品質を検討することです。

たとえば、（パスワードマネージャーアプリに保存する）単純な古いパスワードで新しいアカウントを開くか、パスワードに加えてリスクベース認証（RBA）を実行するIDPにリダイレクトするかを選択できるかどうかを検討してください。 IDPの場合。 RBAを備えたシステムは、クライアントのIPアドレス、ブラウザーの特性、そのユーザーの動作の「通常の」パターンなど、認証セッションをスコアリングするためのさまざまな要因を考慮する可能性があります。リスクスコアの場合高いことが判明した場合、そのIDPですでに構成されているいくつかの質問または別のステップアップ方法に回答するように求められる場合があります。

この場合、どのオプションが好きですか？昔ながらのパスワードだけですか、それともPassword + RBAのIDPですか？ Facebookなどのサービスは、認証サービスに加えてリスクベースの機能を徐々に展開しています（そのため、名前を付ける友人の写真などが表示される場合があります）。このレポートでRBAの詳細を読むことができます：

http://www.landsbankinn.is/library/Documents/Frettir/The_Forrester_Wave_Risk-B1.pdf

より一般的な定義はここから入手できます：

http://whatis.techtarget.com/definition/risk-based-authentication-RBA

よろしく。

この質問 オフラインとオンラインのパスワードマネージャーの違いについて説明します。

では、オンラインパスワードマネージャーはフェデレーションIDプロバイダーとどのように比較されますか？

2つには同様のリスクプロファイルがあります。どちらの場合も、プロバイダーを完全に信頼しています。これは悪いことではありません。プロバイダーを選択できるので、独自のサーバーを実行することを意味する場合でも、信頼できるプロバイダーを選択してください。どちらのアプローチにも実装上の欠陥のリスクがかなりあり、欠陥の種類は大きく異なりますが、一方のアプローチをもう一方のアプローチより本質的に優れたものにするものは何もありません。

違いはユーザーエクスペリエンスです。フェデレーションログインのフローは一般的に少し優れていますが、それをサポートするために各Webサイトに依存しています。オンラインパスワードマネージャーにはブラウザープラグインが必要です。これは、異なるマシンを頻繁に使用する場合に問題になる可能性があります。