web-dev-qa-db-ja.com

パスワードマネージャーの外部に資格情報を保存する良い方法はありますか?

私の会社の多くのユーザーは、自分の議題を使用してパスワードとユーザー名、または保護されたパスワードが記載されたExcelシートを書き留めています。推奨事項やフィードバックを読んだ後、パスワード管理用のソフトウェアをインストールするのをためらっています。パスワードを保存する他の安全でユーザーフレンドリーなソリューションはありますか?

passwordspassword-management
47
Hajar Qh

パスワードマネージャをインストールします。優れたパスワードマネージャーは、自分でできることよりもはるかに優れています。

これらは、セキュリティの専門家によって作成されたソフトウェアであり、厳密な開発ルールに従っており、多くの人々によってテストされ、多くの人々によって攻撃されています。彼らは、平均以上の平均的なユーザーでさえ、発明したものよりもパスワードを保護する可能性が高くなります。

110
ThoriumBR

あなたはおそらくパスワードマネージャの欠陥に関する最近の記事を参照しているでしょう。

タイトルの右側には、パスワードマネージャーに欠陥があり、1つを使用する必要があります。 Excelにパスワードを保存したり、メールで送信したり、チャットに貼り付けて全員がログに記録するなど、多くの人が行うよりも安全です...

すべてのソフトウェアに欠陥があります。パスワードマネージャ、およびセキュリティソフトウェアは、一般的なソフトウェアよりも高い水準に保たれています。パスワードマネージャーでこれらの記事で取り上げられている欠陥は、新人の間違いではなく、トレードオフのリスクがあります。

1Passwordには、最新の欠陥についての記事 と、 彼らのフォーラムでの深い議論 に関する記事があります。これは、他のより深刻なメモリバグを回避するためのトレードオフの結果であるため、間違いではありません。重要なのは、お使いのコンピュータがすでに危険にさらされていることと、最近マスターパスワードを入力したということです。 。 1Passwordの jpgoldbergはそれを置くので ...

...これが攻撃を可能にするために、攻撃者がしなければならないことを考慮する必要があります

  1. 1Passwordがロックされているときに1Passwordプロセスメモリを読み取る位置にいる
  2. 1Passwordのロックが解除されているときに1Passwordプロセスメモリを読み取ることができない。

番号1は、攻撃者がすでにデバイスを深刻に侵害していることを要求します。番号2は、攻撃者(デバイスを深刻に侵害した者)がその制御を奇妙に限られた時間しか持っていないことを意味します。

お使いのコンピュータがすでに非常に危険にさらされている場合、攻撃者は1Passwordのプロセスメモリを読み取ることができ、このエクスプロイトは必要ありません。 1Passwordのロックが解除されるまで待つだけです。

また、コンピュータが危険にさらされている場合、パスワードをExcelスプレッドシートに保存しても保護されません。

パスワードマネージャは、セキュリティを強化するために他のことを行うことができます。

  • モバイルデバイスを含むすべてのデバイス間でパスワードを共有および管理します。
  • 同僚とパスワードと資格情報を共有および管理します。
  • パスワードだけでなく、安全に保管してください。
    • GPGおよびSSHキーとパスフレーズ
    • ワンタイムパスワード ジェネレータ
    • 回復キー
    • セキュリティの質問
    • APIキー
    • ノート
    • クレジットカード(おそらくWebサイトに保存するよりも優れています)
    • 銀行口座
    • 会員
    • ソフトウェアライセンス
  • 安全でないパスワードを通知する
    • 再利用されたパスワード
    • パスワード違反
  • 安全なパスワードを生成する
  • パスワードの自動入力( shoulder surfed )を回避する)
  • 新しいアカウントを自動記録
  • ランサムウェアに対する保護(Vaultを他の場所に保管している場合)

これらは、パスワードの再利用、弱いパスワードの使用、電子メールまたはチャットまたは共有ドキュメントを介したそれらの共有、それらの書き留め(紙またはファイルのいずれか)、および侵害されたパスワードの使用の継続などの悪い習慣を回避します。

62
Schwern

パスワードを保存する最も安全な場所はどこにもありません。それは、所有者のメモリにのみ存在する安全なトークンでなければなりません。残念ながら、多くの人は覚えやすくするために、単純すぎて安全でないパスワードを使用しています。対照的に、より安全なパスワードは(ほとんどの人にとって)覚えるのがより困難です。

あなたの記憶に頼ることができないなら、あなたは間違いなくパスワードマネージャーを使うべきです。パスワードマネージャーは物理的なアクセスでもがパスワードを危険にさらすのを防ぎます。小さな物理的なパスワードブックは、ドアのロックと同じくらい優れています。これは、メモリにのみ保存されているパスワードマネージャのマスターパスワードよりもはるかに安全ではありません。

8
owacoder

承知しました!完全に実行された場合、それほど頻繁に危険にさらされないスキームは次のとおりです[1]:

  1. パスワードを持っているサイトのリストを保管してください。安全な場所に置いてください。 [2]

  2. パスワードのリストを保管してください。財布に入れて折りたたんでください。ウォレットを開くとき、またはウォレットのパスワードを使用するときは、慎重に提示してください。覚えているパスワードを破棄します。

  3. 財布を紛失したり盗まれたりした場合は、すべてのパスワードを変更するという大きな頭痛の種を楽しんでください。

したがって、基本的なパスワードマネージャーが行うことのほとんどは、覚えやすさ、サイトへのマッピング、機密性です。これは、パスワードマネージャーを使用するよりもはるかに多くの作業です。これを間違えると、パスワードマネージャを使用するよりもはるかに安全でなくなります。人間の誤りを考えると、おそらくパスワードマネージャーの方が優れているでしょうか。

[1]:このスキームに対する主な問題は、最終的にはそれを実践できなくなり、実際にパスワードを変更する必要がある場合には、非常に混乱することです。

[2]:「十分に安全」は、ニーズによって大きく異なります。銀行の資格情報を保存する退屈な人ですか?あなたの地下室の金庫はおそらく大丈夫です。あなたはNSAから隠れていますか?正直なところ、このスキームはおそらく十分ではありません。

4
Monica Apologists Get Out

Microsoft Officeドキュメントの暗号化は、ドキュメントを開かず、IT管理者によってプッシュされたセキュリティ証明書を持っていない限り、すべての目的と目的に対してかなり優れており、安全です。

それはいくつかの弱点を提供しています

https://docs.Microsoft.com/en-us/deployoffice/security/remove-or-reset-file-passwords-in-office

以前は、ファイルパスワードの元の作成者がパスワードを忘れたか、組織を離れた場合、ファイルは回復できなくなりました。 IT管​​理者は、Office 2016と、会社または組織の秘密キー証明書ストアから生成されたエスクローキーを使用して、ユーザーのファイルのロックを解除し、ファイルをパスワード保護なしで残すか、新しいパスワードをに割り当てることができますファイル。 IT管​​理者であるあなたは、会社または組織の秘密鍵証明書ストアから生成されたエスクローキーの管理者です。手動で作成できるレジストリキー設定またはグループポリシースクリプトを使用して作成できるレジストリキー設定を介して、公開キー情報をクライアントコンピュータに一度だけサイレントにプッシュできます。ユーザーが後でパスワードで保護されたWord、Excel、またはPowerPointファイルを作成すると、この公開鍵はファイルヘッダーに含まれます。その後、ITプロフェッショナルはOffice DocRecryptツールを使用してファイルに添付されているパスワードを削除し、必要に応じて、新しいパスワードを使用してファイルを保護できます。これを行うには、ITプロフェッショナルは以下のすべてを備えている必要があります。

ITマネージャーまたはルート証明書にアクセスできるユーザーは、すべてのドキュメントを復号化できます。したがって、悪意のある攻撃者がこれにアクセスできる場合、パスワードで保護されたすべてのドキュメントを解読する可能性があります。

一時ファイルMicrosoft Officeの二次問題があります。ファイルがMicrosoft Officeで開かれ、正しいパスワードが入力されると、Microsoft Officeは内容を表示する一時ファイルを作成します。このファイルを参照するユーザーは、誰かがファイルを開いている限り、ファイルを選択してWindowsエクスプローラーのプレビューウィンドウにコンテンツを表示できます。

ほとんどのWindowsネットワークでは、同僚のPCを参照して、PC上のドキュメントや、ドキュメントが保存されている可能性のある共有を調べることができます。

つまり、それ自体は表面的には安全に思えるかもしれませんが、下にあるのは、アクセスできる暗号化されたドキュメントが開かれるのを待っているプログラムをワークステーションに感染させ、一時ファイルの内容を読み取るだけです。ファイル。そして、ほとんどの人は一度開かれたパスワード文書をバックグラウンドで開いたままにしておきます。

ほとんどのパスワードマネージャーは、必要な場合にのみ復号化してから、パスワードを上書きする前にクリップボードにしばらく保存して、パスワードが露出する可能性を最小限に抑える保護機能を備えています。

比較すると、パスワードマネージャーはより高いセキュリティを提供します。

3
Tschallacka

パスワードマネージャーの使用を心からお勧めします。それが不可能で、次のすべてが当てはまる場合:

  • ユーザーは自分のパスワードを選択できます。
  • パスワードを共有する必要はありません。
    • (Excelファイルが保護されているため、これはありそうにありません。)

...そして、あなたは パスワードカード を彼らの財布に保管することを提案できます。

2
Michael - Where's Clay Shirky

Sheneir on パスワードを書き留めてください

MicrosoftのJesper Johanssonは、人々にパスワードを書き留めるよう促しました。

これは良いアドバイスであり、私は何年もそれを言ってきました。

簡単に言うと、辞書攻撃を確実に防ぐのに十分なパスワードを覚えることができなくなり、覚えるには複雑すぎるパスワードを選択してそれを書き留めると、はるかに安全になります。私たちは皆、小さな紙片の確保に長けています。パスワードは小さな紙に書き留め、他の貴重な小さな紙と一緒に、財布に入れておくことをお勧めします。

2
Billal Begueradj

唯一の解決策は、解読が難しく覚えやすいパスワードを選択することです。パスワードをどこかに書き留める必要はありません。

しかし、真剣に、会社全体にパスワードマネージャサーバーをインストールするようにITサポートに依頼できれば、マシンにインストールする必要はありません。

1
Paris

パスワード(Excel 2016など)で暗号化されたスプレッドシートは、デフォルトでAES-256ビット暗号化を使用する「 ECMA-376 Document Encryption 」を使用します。パスワードが辞書の単語ではない場合、データリスクの観点から見ると、他のどのパスワードマネージャーよりも良くも悪くもありません。

スプレッドシートはFIPS-140-2に準拠し、キーまたはドライブをNIST 800-88に記載されている安全なワイプ方法でワイプする必要がある場合は、暗号化法の大半に準拠します。

いくつかのパスワードを管理しているユーザーの場合、Excelとパスワードを使用した短期的な問題、または法的な問題はありません。

長期、チェックイン/チェックアウトローテーションを許可するパスワードボールトソリューション Cyber​​Ark または Thycotic は、ロギングやその他の機能を使用すると、はるかに良くなります。他に無料で簡単に確認できるものは Buttercup です。

1
opsecwin

多くの人がパスワードマネージャを推奨しています。私は反対しません、それは確かに健全なアドバイスですが、別の可能性があります。

ほとんどの攻撃ベクトルに対して、パスワードの整合性を大幅に低下させることなく、パスワードの場所に関する情報を記録させることはかなり可能です。個人の本(たとえば、不思議の国のアリスなど)を1つずつ持参します。これらは1つの本棚にまとめられ、すべてのパスワードに本の3〜4語の組み合わせを使用します。次に、それらの単語のページ番号、行番号、単語番号など、好きな場所に書き留めることができます。はい、パスワードの検索は遅くなりますが、ブルートフォース攻撃に対するパスワードのセキュリティが向上します。これにより、オフィスへの物理的なアクセスが必要になります。 「保存された」パスワードへの電子アクセス。これは、ワークステーション上のファイルに平文でパスワードを保存することと比較して、大幅に改善されています。

おまけとして、パスワードはより安全で覚えやすくなっています。 必須のxkcd

しかし、繰り返しになりますが、パスワードをExcelファイルに書き出さないようにする必要がない場合は、このような厄介な手順を確立するのは難しいでしょう。 YMMV。

0
Stian Yttervik

パスワードマネージャーはカスタムメソッドよりも安全であるという他の回答にも同意します。また、保護されたExcelスプレッドシートは、パスワードマネージャーよりも簡単に侵害される可能性があります。

そうは言っても、パスワードマネージャーを使用しないことにした場合は、次のアプローチを使用できます。

  1. パスワードで保護された2つのExcelファイルを用意します。
  2. Excelごとに異なるパスワードを使用します。
  3. ユーザー名、サービスなどのリストを1つのシートに保存し、各レコードに一意の番号/テスト(例:AdobeのA001、Stack OverflowなどのS001など)を割り当てます。
  4. 一意の番号と対応するパスワードを別のExcelに保存します。
0
Kolappan N