LastPassのようなパスワードマネージャーはどの程度安全ですか?
パスワードの保存と使用にLastPassを使用しているため、1日に4〜5つの異なるアカウントを登録する必要があり、パスワードが長い場合でも、パスワードが重複することはありません。
LastPassのようなパスワードマネージャーサービスはどの程度安全ですか?それらは単一障害点を作成しませんか?それらはハッカーにとって非常に魅力的なサービスです。これらのサービスとそのセキュリティメカニズムの背後にいる人々をどのように信頼できますか?第三者(政府、会社など)が非常に簡単に「買収」して私のパスワードをすべて取得すると思います。
同様の使いやすさで同様のサービスを提供する他のソリューションはありますか?
オフラインのパスワードマネージャー( Password Safe など)とオンラインのパスワードマネージャー( LastPass など)を区別する必要があります。
オフラインのパスワードマネージャーは、リスクが比較的少ないです。保存されたパスワードが単一障害点であることは事実です。しかし、それからあなたのコンピュータも単一障害点です。違反の原因として最も可能性が高いのは、コンピューターにマルウェアが侵入することです。パスワードマネージャーがないと、マルウェアは静かに座って、使用するすべてのパスワードをキャプチャできます。マルウェアがマスターパスワードをキャプチャすると、すべてのパスワードが取得されるため、パスワードマネージャーを使用すると、状況は少し悪化します。しかし、あなたが決して使用しないものを気にする人はいますか?理論的には、パスワードマネージャーがトロイの木馬にされたり、バックドアを持つ可能性がありますが、これはどのソフトウェアにも当てはまります。 Password Safeのような広く使用されているパスワードマネージャを信頼して安心します。
オンラインパスワードマネージャーには、誰のコンピューターでもパスワードを使用できるという大きなメリットがありますが、リスクはやや高くなります。 (ハッキング、裁判所命令、悪意のある内部関係者などにかかわらず)オンラインデータベースが侵害される可能性があることも一部ですパスワードセーフのように)。
さて、ほとんどの人にとってこれらのリスクは許容可能であり、ほとんどのパスワードにLastPassのようなパスワードマネージャーを使用するアプローチは、どこでも同じパスワードを使用するよりも優れていることをお勧めします。これが主な代替手段のようです。しかし、すべてのパスワードをそこに保存することはしません。オンラインバンキングなど、最も重要なものを暗記するようにしてください。
パスワードセーフを使用せず、代わりに難読化された形式のパスワードが記載された物理的なノートブックを持っている人がいます。このノートブックは明らかにマルウェアに対してはるかに安全です...紛失/盗難のリスクが高いかどうかは興味深い問題です。
[開示:1PasswordのメーカーであるAgileBitsで働いている。競合他社のセキュリティアーキテクチャについてコメントするのは不適切であるため、私は一般的なことを取り上げ、特に1Passwordについてのみ説明します。]
はい。パスワードマネージャは、単一障害点を作成します。すべての卵を1つのバスケットに保管しています。私は明らかに、適切に設計されたパスワードマネージャーが正しい選択だと思います。しかし、最終的には、それは各個人が自分のために作る必要がある選択です。
そのバスケットがどのように保護されているかを確認することは非常に重要です。 1Passwordを使用すると、データの保存方法を 詳細を読む できます。 PBKDF2を多用していますが、人々が 適切なマスターパスワードを選択する であることが非常に重要です。私が見た1Passwordデータ侵害の唯一の確認されたケースは、誰かが彼女の暗号化されていないPOP3/HTTP Road Runnerメールに使用したのと同じマスターパスワードを使用した場合です。同じパスワードが彼女のDropboxアカウントにも使用されました。これも引き継がれ、攻撃者が1Passwordデータを取得したと推定されます。
パスワードマネージャの背後にいる人々を信頼することに関しては、それはよりトリッキーな質問です。しばらくパスワード管理ビジネスに携わっている人なら、銀行の資格情報やクレジットカードをもう1度試してみるリスクはないと言っても差し支えないと思います。たとえ私たちが真に詐欺師であったとしても、そのような計画の単なる疑いがベンダーを廃業させるので、それは単に悪いビジネスでしょう。盗難されたクレジットカードの詳細は、闇市場でまとめて購入した場合、それぞれ1米ドル未満で販売されます。銀行の信用証明書は約5倍です。この計算は、パスワード管理ツールを販売することで生計を立てている人にはうまくいきません。
すでに述べたように、一部のスキームでは、データはどの形式でもベンダーに送信されません。これは1Passwordにも当てはまります。誰もが1Passwordをどのように使用しているのか私達は決して見ない。ただし、システム間でデータを同期するために、サードパーティの同期システムを使用しています。そのため、Dropboxを使用してデータを同期すると、暗号化されたデータがDropboxから盗まれたり、自分のコンピューターから盗まれたりする可能性があります。暗号化されたデータがキャプチャされる可能性が無視できない可能性があると常に想定する必要があります。次に、データの暗号化の程度に戻ります。これは注意深く検討する必要があることです。
パスワード管理システムのサプライヤーを信頼することに関する他の質問は、私たちの能力を信頼すること、そしてシステムへのバックドアを許可するように強制/賄賂/「説得」されていないことを信頼することに帰着します。これはもっと複雑です。ベンダーは、発見されたセキュリティバグにどのように対処しますか?製品の動作とデザインのどれだけが独立して検証可能ですか?作成者は、使用している暗号を理解していますか?
1Passwordのように、ユーザーからのデータがないシステムの場合、政府機関(そして 今まで行ったことがない です)からアプローチされる理由はほとんどありません。同時に、政府が同期システムに保存されているデータにアクセスできると想定する必要があります。繰り返しになりますが、これはそのデータがどのように暗号化されるかという問題に戻ります。
免責事項:私は PfP:痛みのないパスワード を趣味として作成しました。
私は何度か、いくつかのパスワードマネージャのセキュリティ問題を調査してきました。特に、これまでにLastPassに12のセキュリティ問題を報告し、それらの原因となった設計上の決定を分析しました。そのため、paj28はパスワードマネージャーについて非常に良い一般的な回答をしましたが、詳細をいくつか提供できます。
オンラインパスワードマネージャーのセキュリティについて語るとき、彼らは通常、サーバーのセキュリティに焦点を当てています。サーバーに危害を加えることがどれほど容易であるか、そしてその後何が起こるかに焦点が当てられています。ただし、これは1つの攻撃ベクトルにすぎません。ローカルパスワードマネージャインスタンスを攻撃すると、同じ結果になる可能性があるためです。実際、データはすでにそこで復号化されており、ログに痕跡を残さないため、ブラウザ拡張機能を攻撃することは、より有望な一連の行動となる可能性があります。
これら2つの側面を個別に見てみましょう。
ブラウザー拡張機能への攻撃
LastPassブラウザー拡張の脆弱性に関する多くの履歴データがあります。これらの脆弱性はすべて、任意のWebページによって悪用される可能性があります。少なくとも、これらは次のとおりです。
- オートフィル機能の欠陥 (Mathias Karlsson)
- 公開された内部API (Tavis Ormandy)
- つのLastPass拡張機能の脆弱性 (本当にあなたのもの)
- オートフィルのもう1つの欠陥(LastPassでは悪用できないと見なされ、後でTavis Ormandyによって間違っていることが証明されるだけです)
- 別の公開された内部API
- リモートコード実行、完全な拡張機能の妥協
- それでもオートフィルの欠陥 (Tavis Ormandy)
- まだ再び公開された内部API (Tavis Ormandy)
- そして、もう一度公開された内部APIにより、リモートでコードが実行されます (Tavis Ormandy)
ここのパターンに気づきましたか? LastPassは、オートフィル機能を保護し、内部APIへのアクセスを制限することに長年取り組んできました。新しいレポートにより、以前の修正が不完全であることが証明されました。
今では、パスワードマネージャーがオートフィルを安全に実装できないことは珍しくありません。私が確認したところ、パスワードマネージャーのほとんどがこの領域で問題を抱えていました。これらの問題は完全に回避できますが、トラップを回避するために 推奨事項のリスト をコンパイルすることさえできるほど一般的です。
しかし、内部APIの問題は非常に顕著です。 LastPassは、このAPIをさまざまな方法でWebサイトに公開します。これはlastpass.comに制限されることを意図していますが、ロジックが非常に複雑なので、制限は過去に何度か回避されています。また、LastPassは公式発表の重大度を軽視するために最善を尽くしましたが、これらの問題のそれぞれにより、Webサイトはすべてのパスワードを一度に読み取ることができました。さらに悪いことに、Tavis Ormandyによる最後のレポートでは、内部APIを使用してバイナリのLastPassコンポーネントにユーザーのマシンで任意のコードを実行させることができることが証明されました。内部APIを公開していた以前のすべての欠陥でも、同じことがおそらく可能です。
もちろん、LastPassが内部APIへのアクセスを適切に制限できなかった理由を尋ねることもできます。しかし、より良い質問は、このAPIがWebサイトに公開される理由です。これは、LastPass機能の大部分が拡張機能に含まれておらず、LastPass Webサイトに依存して機能しているためです。これは非常に問題の多い設計上の決定ですが、これまでのところ、LastPassはそれを修正することに関心がなかったようです。
サーバー側のデータへの攻撃
これを非常に明確に述べましょう:サーバーを信頼していません。私たちがLogMeIn、Inc.を特に不信しているわけではありません。少なくとも他のどの企業よりも高くありません。しかし、私たちのパスワードは非常に機密性の高いデータであり、最も倫理的な会社でさえ、不正な従業員がいる可能性があります。これに加えて、米国当局が彼らにあなたのデータを作成するように要求する可能性を追加します。これは必ずしも犯罪捜査に関連するものではありません。彼らのサーバーがすでにハッキングされている可能性を気にしないでください 一度起こった 。
そのため、サーバー上のデータは暗号化されており、それを入手できる人には役に立たないことが非常に重要です。しかし、攻撃者がそれを解読するのを阻止できるものは何でしょうか?正確に言えば、暗号化キーの導出に使用されるマスターパスワードを知らないということです。だから本質的な質問は:LastPassはあなたのマスターパスワードと暗号化キーを十分に保護していますか?
この領域では、私は公表された研究に気づいていませんが、私自身の研究のほとんどは このブログ投稿 に書き留められています。ここでの私の結論:LastPassは、ここでいくつかの設計上の欠陥に悩まされています。
マスターパスワードのブルートフォーシング
攻撃者が一連の暗号化されたデータを入手した場合、最も簡単な復号化アプローチは、暗号化キーの導出に使用されるマスターパスワードを推測することです。手頃なハードウェアでローカルで無制限の数の推測を試すことができるため、このプロセスは比較的高速です。
LastPassはPBKDF2アルゴリズムを使用して、マスターパスワードから暗号化キーを取得します。このアルゴリズムは、bcrypt、scrypt、Argon2などの新しいアルゴリズムよりも劣っていますが、鍵の導出を遅くするという重要な特性があるため、ローカルで推測を行う攻撃者の速度が低下します。必要な時間は反復回数に比例します。つまり、反復回数が多いほど、マスターパスワードを推測することが難しくなります。
長い間、LastPassのデフォルトは5,000回の反復でした。これは非常に低い値で、保護はほとんどありません。単一のGeForce GTX 1080 Tiグラフィックスカードを使用して、毎秒346,000推測をテストできると計算しました。 さまざまなWebサイトの漏えいで知られている10億を超えるパスワードを含むデータベース を1時間以上で完了するには十分です。
私の報告に従って、LastPassはデフォルトを2018年半ばに100,000回に増やしましたが、これははるかに適切です。もちろん、マスターパスワードを推測するときに州レベルのリソースがスローされることを期待できる重要なターゲットである場合でも、非常に強力なマスターパスワードを選択する必要があります。
ブルートフォースへのデータの保持
2018年初頭の私の発見の1つは、スクリプトhttps://lastpass.com/newvault/websiteBackgroundScript.phpはどのWebサイトでもロードできます。そのスクリプトには、LastPassのユーザー名と暗号化されたデータ(プライベートRSAキー)の両方が含まれていました。 LastPassのユーザー名がパスワード導出ソルトでもあるので、ローカルでマスターパスワードをブルートフォースする必要があるのはそれだけです。
もちろん、この問題はすぐに解決されました。しかし、この欠陥は十分に明らかだったので、私がそれを最初に発見したのかどうか疑問に思いました。 LastPassにログをチェックして、この脆弱性が実際に悪用されている兆候がないかどうか確認するよう要請しましたが、私の知る限り、この調査は行われていません。
役に立たない保護としての「サーバー側ラウンド」
2011年のセキュリティインシデントに続いて、LastPass 追加のセキュリティメカニズムを実装 :クライアント側でのPBKDF2の反復に加えて、サーバーでさらに100,000回の反復が追加されます。したがって、理論的には、誰かがサーバーからデータを取得できた場合、マスターパスワードを推測するのに必要な労力が増加します。
実際には、これらの追加の100,000回の反復がパスワードハッシュにのみ適用されることを最終的に証明できました。他のすべてのユーザーデータ(パスワード、RSAキー、OTPなど)は、マスターパスワードからローカルに派生した暗号化キーを使用してのみ暗号化され、ここでは追加の保護はありません。結論:この追加の「保護」はサーバーリソースの完全な浪費であり、何の価値も提供しません。
バックドアから侵入する
保護がいかに弱い場合でも、ブルートフォース攻撃は、最も強力なマスターパスワードに対しては常に効果がありません。ただし、LastPassの設計には、労力を費やすことなくデータを復号化できるバックドアがたくさん含まれています。
ウェブインターフェース
LastPassは、ブラウザ拡張機能を使用せずにパスワードにアクセスするためのWebインターフェイスを提供します。ただし、この機能はトラップです。マスターパスワードをWeb上のログインフォームに入力すると、マスターパスワードをPBKDF2でハッシュしてからサーバーに送信するのか、それともクリアとして送信するのかを知る方法がありません。テキスト。
サーバーを信頼していないことを覚えていますか?それでも、サーバーによって提供されるJavaScriptコードの些細な変更は、すべてのパスワードを危険にさらすのに十分です。そのJavaScriptコードを検査しても、何も気付かないほど多くあります。また、変更されたコードを特定のユーザーにのみ提供することも可能です。
アカウント設定
ブラウザー拡張機能を一貫して使用していても、アカウント設定に移動するたびに、lastpass.com Webサイトが読み込まれます。ここでも、このWebサイトが侵害されておらず、バックグラウンドでデータを盗むことはありません。
他のいくつかの拡張機能も、lastpass.comのWebサイトにフォールバックすることで実装されます。LastPassには、この問題はありません。
リカバリーOTP
LastPassには、マスターパスワードを忘れた場合にアカウントからデータを回復するために使用できるワンタイムパスワード(OTP)の概念があります。これらのOTPはデータの復号化を許可しますが、通常サーバーには知られていません。
リカバリの信頼性をさらに高めるために、LastPassはデフォルトで自動的にリカバリOTPを作成し、拡張データに保存します。ここでの問題:回復プロセスは、拡張機能があなたに通知することなく、要求に応じて即座にlastpass.comに回復OTPを提供するように設計されています。そのため、侵害されたLastPassサーバーは、拡張機能に回復OTPを要求し、それを使用してデータを復号化できます。
LastPassによると、この問題は2018年8月に解決されています。彼らがそれをどのように解決したかはわかりませんが、少なくとも、コードに明らかな解決策は見られませんでした。
暗号化キーの公開
また、拡張機能がローカルの暗号化キーをLastPassサーバーに直接公開することも多くあります。これは、WebベースのLastPass機能とブラウザー拡張機能の統合を促進することを目的としていますが、ローカルでのデータ暗号化の影響を無効にします。次のアクションはすべて問題があります。
- 口座開設、セキュリティチャレンジ、履歴、ブックマークレット、信用監視
- 個人アカウントへのリンク
- アイデンティティを追加する
- バイナリコンポーネントがインストールされていない場合のデータのインポート
- すべてのサイトを印刷する
- 違反通知をクリックする
最後の1つは特に深刻です。これは、LastPassサーバーが自由に違反通知を送信できるためです。したがって、LastPassは問題のある機能を自分で使用するのを待つのではなく、いつでも好きなときにデータにアクセスできます。
その他の設計上の欠陥
- ログイン中に https://lastpass.com/getaccts.php を開いて自分で確認できるように、LastPassボルトは暗号化されたデータの塊ではありません。暗号化されたデータはあちこちにありますが、アカウントに対応するURLのような他のフィールドは16進エンコーディングのみを使用しています。この問題は この2015年のプレゼンテーション で指摘されており、それ以降、より多くのフィールドが暗号化されました。特に、私が提出したレポートでは、同等のドメインが暗号化されていないため、LastPassサーバーがそのリストを変更し、その方法でパスワードを抽出できることが指摘されました。 LastPassによると、この特定の問題は2018年8月に解決されています。
- 同じプレゼンテーションで、LastPassが暗号化に AES-ECB を使用することを非難します。特に、どのパスワードが同一であるかがわかります。それ以来、LastPassはAES-CBCに移行していますが、「ボールト」を見ると、そこにAES-ECB暗号化された資格情報がたくさんありました(AES-ECBは単にbase64でエンコードされたblobなので、LastPass AES-CBCのバリアントは感嘆符で始まります)。
- リカバリーOTPが自動的に作成されて拡張データに保存されることは、デバイスとメールアドレスへのアクセス権を持つ誰もがLastPassアカウントにアクセスできることを意味します。これは実際には 文書化 であり、リスクは低いと考えられています。コンピューターをロックするのを忘れたため、同僚の1人があなたの名前でメールを送信していたずらをしたのかもしれません-次回、LastPassからログアウトしている場合でも、LastPassアカウントを引き継ぐ可能性があります。
- ログアウトされているといえば、デフォルトのセッション有効期限は2週間です。確かに便利ですが、機密データを処理するほとんどの製品のセッション有効期限間隔がはるかに短い(通常は1日よりも短い)理由があります。
- 値をシークレットと(たとえば署名として)組み合わせるには、通常SHA256-HMACを使用します。 LastPassは代わりにカスタムアプローチを使用し、SHA256ハッシュを2回適用します。 HMACが対処することを意図した攻撃はここでは役割を果たしていないようですが、結局のところ、ここで脆弱性を見つけないよりも、暗号の知識が高い人に賭けることはしません。また、サーバー側でSHA256トークンが時々生成されることもあります-私はそれが見えない場所でどのようなハンバグが起こっているのか、そしてそれが本当に安全であるのかと思います。
ジェフリーの答えは特に洞察に富んでいます-主なリスクはすべて経済学です。最大の脅威の1つは、パスワードマネージャーの失敗(作成者に十分なお金を稼がない)である可能性があります。悪意のある俳優は、製品を購入し、プログラムを変更して自分自身にデータを送信することで(おそらく検出が困難な方法で)、開発者を「救助」できます。そのため、使用するパスワードマネージャーがその作者にとって経済的に成功しているように見えるようにすることはおそらく重要です。
最近、長い間使用していた(以前は有料だった)パスワードマネージャーアプリに不安を感じました。開発の大部分は停止したようで、アプリは無料になり(私の意見では大きな赤旗)、所有権が変わった可能性があります。別のアプリに切り替えましたが、データが侵害されたかどうかを知るのは困難です。
パスワードは本当に安全ですか?
私はLastpassを使用しましたが、マスターパスワードをデータベースと一緒にサーバーに送信しないようにするにはどうすればよいのか、いつも疑問に思っています。また、サーバーをポーリングするようにクライアントを設定し、特定のユーザーに対してのみこれを実行して、検出を防止することもできます。これはNSAおよびもちろん愛国者法、または企業にこのようなことを強制して秘密に保つことを強制できる他の機関に関係します。
NSAを忘れる
私にとって、すべての機関を安全に保つことは、ログイン情報を秘密にすることとは異なります。私は彼らからすべてを秘密にしたいと思いますが、彼らは単に私が努力することができるだけの非常に多くの異なるリソースと人手力を持っています。彼らが具体的に私を標的にしているなら、私はおそらく迷っています。彼らは私のホームルーター、私の電話、私のラップトップをハックし、キーロガーなどをインストールすることができ、私には手掛かりがありません。法的権限を持つ機関は(たとえ私たちが同意しない場合でも、他の国の出身である場合でも)、止めることは困難です。
したがって、NSAやGCHQなどについては忘れてください。これは、通常の人々をどこにも連れて行かないためです。まあ...このコンテキストでは忘れてください。
ラストパスまたはキーパスまたは...?
Lastpassがデフォルトでパスワードをアップロードし、これが発見された場合、それらは大きな問題を抱えることになります。私は約1年間Lastpassを使用しましたが、ブラウザとのやり取りの方法が原因で停止しました。ドロップダウンメニューをWebフォームに挿入する煩わしい方法が好きではありません。ブラウザの速度が低下しました。私はラストパスを使用したとき、パスワードやログイン情報を紛失してもそれほど問題にならなかったすべての簡単なフォーラムに使用しました。より深刻なパスワードには、Keepassを使用します。
私はKeepassを使用しており、何年も使用しています。 Keepassは安全ですか?オフラインです!しかし、それがデータを送信しないことを確実に知っていますか?私は、Amazon、Apple、ISP、Paypal、大きな店などのWebサイトへのログインに使用しています。つまり、私のクレジットカード番号を持っているWebサイトです。
私が覚えていて、私の心以外にはどこにも保存していないパスワードもあります。
このようなサービスにはクラウドの「利便性」を提供するものと提供しないものがあります。パスワードをクラウドに保存することを許可している場合、すべてのユーザーの保存されたパスワードを表すデータを取得する単一の攻撃源があるため、アプリケーションへの信頼が高まります。これらのパスワードがユーザーごとに一意に暗号化されていると想定すると、リスクは軽減される可能性がありますが、軽減の程度にかかわらず、これは単一の攻撃ポイントのままです。
パスワードのみをローカルに保存する(またはデータベースを手動で移行できる)アプリケーションとは対照的です。ここでは、あなたの努力レベルはより大きくなるかもしれませんが、攻撃ポイントはおそらくあなたがより多くの制御を持っているマシン上にあり、パスワードしか持っていないので、それほど興味深い攻撃ポイントではありません。もちろん、これで完全に予防接種ができるわけではありません。トロイの木馬は、これらを探し出して別の場所に送るように作成できます。
結論としては、セキュリティをどこでトレードオフするかを決める必要がありますが、ほとんどの場合(すべてではないにしても)トレードオフです。私自身の状況については、アプリケーションを記述しなかった場合、アプリケーションが何をしているかわからないため、アプリケーションを信頼する可能性ははるかに低くなります。
あなたが興味を持つかもしれないいくつかの論文はここにあります:
- 「パスワードマネージャー:リスク、落とし穴、改善」(2014)
概要:
私たちは、人気のあるパスワードマネージャーのセキュリティと、Webページにパスワードを自動入力するポリシーを研究しています。ブラウザーに組み込まれているパスワードマネージャー、モバイルパスワードマネージャー、サードパーティのマネージャーを調べます。パスワードマネージャ間でオートフィルポリシーに大きな違いがあることを示しています。多くの自動入力ポリシーは、リモートネットワーク攻撃者がユーザーとの対話なしにユーザーのパスワードマネージャーから複数のパスワードを抽出できるという悲惨な結果につながる可能性があります。これらの攻撃と、パスワードマネージャーのセキュリティを強化する手法を実験します。私たちの拡張機能は、既存のマネージャーが採用できることを示しています。
- 「2つの商用ブラウザーおよびクラウドベースのパスワードマネージャーの脆弱性とリスク分析」(2013)
概要:
Webユーザーは、さまざまなオンラインサービスで貴重な資産を保護するために、ますます多くのパスワードを管理するという困難な課題に直面しています。パスワードマネージャーは、ユーザーのパスワードを保存し、後でユーザーの代わりにログインフォームに自動入力することで、このような課題に対処するために設計された最も人気のあるソリューションの1つです。主要なブラウザベンダーはすべて、組み込み機能としてパスワードマネージャを提供しています。サードパーティベンダーも多くのパスワードマネージャを提供しています。このホワイトペーパーでは、LastPassとRoboFormの2つの非常に一般的な商用パスワードマネージャーのセキュリティを分析します。どちらもブラウザおよびクラウドベースのパスワードマネージャ(BCPM)であり、世界中で数百万人のアクティブユーザーがいます。これらの2つのBCPMのセキュリティ設計と実装について、その基礎となる暗号メカニズムに焦点を当てて調査します。さまざまなタイプの攻撃者がこれら2つのBCPMのセキュリティを破るために悪用する可能性のある、重大、高、中程度のリスクレベルの脆弱性をいくつか特定します。さらに、これらおよび同様のBCPMのセキュリティ設計の改善に役立つ一般的な提案をいくつか提供します。私たちの分析や提案が他のクラウドベースのデータセキュリティ製品や研究にも役立つことを願っています。
紙のダウンロード場所およびその他の関連する文書の詳細については、作成したフォーラムスレッド https://www.wilderssecurity.com/threads/password-manager-security-papers.365724/ を参照してください。
要件は、資格情報へのオフラインアクセスです。たとえば、世界中のどこからでもアクセスできるようにしたいすべての銀行、店舗、ウェブサイト、コンビネーションロック、住所、その他すべての詳細に関するセキュリティの詳細をすべて書いた小さなノートブック。
資格情報へのオンラインアクセスは問題ありませんが、詳細にアクセスする前に、インターネットに接続されたPCの近くにいる必要があります。
オンラインシステムは、ハッカー、政府、ゲートキーパー企業の個々の従業員がデータを盗んだり、必要なときに利用できなくなったりするリスクもあります。個人情報が繰り返し失われる例については、「シルクロード」をお読みください。
より良い解決策は、小さなUSBスティックなど、携帯するハードウェアデバイスです。これには、情報を保存および暗号化し、PCまたはMacに差し込んだときに情報を取得する簡単なソフトウェアが含まれています。理想的には、携帯電話でアクセスできるBluetoothが必要です。それには小さなバッテリーが必要かもしれません。コンピューターや携帯電話の近くにいない場合でも、保存されているデータにアクセスする必要がある場合は、RSAセキュリティキーフォブのような小さなLCD画面が表示されます-小さな情報へのアクセスに使用できるディスプレイ。全体がクレジットカードやZippoライターよりも大きい必要はありません。また、すべての情報のバックアップを保存できるリムーバブルマイクロSDカードも使用できます(もちろん暗号化されています)。物理デバイスを紛失した場合でも、完全なデータ損失は発生しません。
それが私の意見では最良の解決策です。 (1)PCおよびインターネットアクセスの有無にかかわらず、どこからでもアクセス可能(2)データが完全にローカルに保存され、セキュリティリスクと依存性をもたらす第三者がいない。
別のアプローチは電子メールです。私たちのほとんどは、ヤフーやグーグルのメールやその他のオンラインメールを持っています。また、yahooサーバーには、アドレス、電話番号、アカウントの詳細、さらにはパスワードなどの大量の個人情報が含まれた何千もの電子メールが保存されています。この権利には個人情報の巨大なリポジトリがあり、オンラインで、スマートフォンでも、簡単なブラウザを介して誰のPCでも利用できます。また、最も機密性の高いデータについては、個人的な暗号化方法を考案することができます。そのため、電子メールはクリアテキストですが、データは何らかの方法で暗号化され、本人しか知りません。
OSXキーチェーンは、パスワードや関連情報を保管するのに理想的な場所だと思いました。新しいIOS&iCloud統合により、さらに便利になりました。私にとって、それは利便性、可用性、安全性の許容できるバランスです。
Appleが内部の仕組みでより透過的だったので、サードパーティのリバースエンジニアリングに完全に基づいて評価する必要はないでしょうが、それでも同じように感じます。入手できる唯一の情報は、Appleからも同様でした。
LastPassの暗号を破ろうとするよりも、パスワードをハッキングする簡単な方法があると思います。たとえば、キーボードのロギング。自分の資格情報が危険にさらされている、またはハッキングされていると本当に思っている場合は、クリーンなLinuxコンピューターを使用する必要があります。本当に難しいパスワード(24文字?)を選択してください。