web-dev-qa-db-ja.com

パスワードマネージャーのパスワードを1つだけ覚えておくことは現実的ですか?

マスターパスワードのみをパスワードマネージャーに記憶させ、それでも安全にすることは可能ですか?たとえば、パスワードマネージャーにアクセスする前に、コンピューターにログインするためのパスワード(およびフルディスク暗号化のパスワード)を知っている必要があります。デバイスごとにこれを乗算します。

パスワードデータベースをバックアップする場合は、おそらくパスワードも必要になります(特に、バックアップにGoogleドライブやDropboxなどのクラウドベースのサービスを使用している場合)。また、多要素認証を有効にしている場合は、携帯電話のパスワードも覚えておく必要があります(Google認証システムなどのアプリを使用している場合)。

より良い方法はありますか、それとも私は何かを誤解していますか?パスワードマネージャーへのパスワードのみを知る必要がありますか?

10
Celeritas

可能ですか?はい現実的ですか?いいえ

WindowsログインパスワードをFDEパスワードと同じに設定しました。物議を醸す選択ですが、これには大きなリスクはありません。

FDEを使用している場合は、理論的には、マスターパスワードのないパスワードマネージャーを使用しても安全です。しかし、ほとんどの人(私も含めて)は、これに慣れていません。つまり、最低でも2つのパスワードです。

パスワードマネージャーに入力したくないパスワードがいくつかあります。銀行カードのPIN。だから私はそれらを記憶する必要があります。

また、実用的な理由で覚えておく必要のあるパスワードがいくつかあることもわかりました。 1つの例は、私のApple AppStore passwordです。TouchIDを使っても、それを十分に入力して覚えておく必要があります。そのパスワードフィールドに貼り付けることはできません。モーダルなので、次のことができます。それとパスワードマネージャを切り替えないでください。

9
paj28

SmartCardまたは同様のテクノロジーを使用してコンピューターにログインする場合、IMOはパスワードマネージャーへの単一のパスワードで逃げることができます。さらに-一部のパスワードマネージャーは、USBドライブのスマートカードまたはトークンを使用して認証できます。

パスワードを必要とするスマートフォンのようなデバイスが残ります。ただし、指紋認証が使用されている場合(ただし、最も安全な認証方法ではありません)、技術的には、スマートフォンデバイスへのパスワードは1つだけ必要です。

2
Vadym Stetsiak

はい、技術的には、パスワードをパスワードマネージャーに保存して、パスワードマネージャーがアクセスするためのパスワードを取得することができます。

しかし、これを行う場合は、本当に「パスワード」から離れ、「パスフレーズ」を使用する必要があります。これは、非常に長いパスワードであり、ブルートフォースにするのは非現実的です。もう1つの問題は、これらのパスワードマネージャがハッキングされる可能性があることです。そのことにも注意してください。

もう1つの非常に優れたオプションは、入力されたパスワードの代わりにコンピューターの物理アドレスをチェックするパスワードマネージャーです。そのため、パスワードはまったく必要ありません。これは企業内のコンピューターでのみ機能するため、企業にとって特に便利です。

つまり、全体として、すべてのパスワードを暗号化して保存するパスワードマネージャーを入手できますが、安全のためにパスワードマネージャーには非常に強力なパスワードを入手できます。

1
Mathias

この質問に基づく意見には少し意見がありますが、締めくくるのに十分であるとは言えません。

実際には、おそらくいくつかの異なるパスワードを覚えておく必要があります。

パスワードボールトを含むあらゆる場所に同じデバイス(携帯電話など)を持ち歩く場合、少なくとも2つのパスワードを覚えておく必要があります。

  • 電話パスワード
  • パスワードマネージャーのパスワード

パスワードマネージャー内で、他のデバイスのパスワードを保存できます。

ただし、これは、携帯電話をなくさないことを前提としています。したがって、ラップトップのパスワードも覚えておくことをお勧めします。そうすれば、パスワードにアクセスする必要があるときにログインできる、信頼できる別のデバイスを用意できます。

Lastpassのようなクラウドに統合されたものではなく、個別のクラウドとパスワードマネージャーシステムを使用している場合、それは覚えておく必要がある別のパスワードです。

これらは覚えやすいので、覚える必要があるパスワードごとにいくつかの Dicewords を使用することをお勧めします。 リンクメソッド などのメモリテクニックは、単語のリストを思い出すのに役立ちますが、ダイスワードは、まれで珍しい単語を生成することがあります。しかし、これは私にとっては効果的であり、多くの場合、生成された単語を十分に変換できるため、何度も入力した後で覚えることができます。

この方法では、実際に覚えておく必要のある最大3つのパスワードに加えて、追加のデバイス用に1つまたは2つのパスワードが必要になります。すべてのデバイスに覚えやすいパスワードは必要ありませんが、必要なときにアクセスできる限り、他のユーザーのパスワードをパスワード保管庫から取得できます。

1
SilverlightFox

パスワードマネージャーにマスターパスワードのみを記憶し、それでも安全にすることは可能ですか?

もちろんマスターパスワードを覚えることは可能ですが、安全ですか?それについてはよくわかりません。あなたがたった一人しか覚えていない何かを探しているなら、人々がそれを疑うことはないと思われていても、マスターパスフレーズを意味のない複雑なものに設定できます。 RUキーボードで英語などのロシア語。お気に入り: одоЧтетьаелбан

それは多分ある程度あなたを助けるでしょう。誰かが意図的にそのパスワードを求めている場合はそうではありません。オンラインで100%安全なものはありません。時間と硬化の問題ですが、インターネット上のすべてのものは壊れやすいものです。

もっと良い方法はありますか、それとも私は何かを誤解していますか?パスワードマネージャへのパスワードだけを知る必要があることは本当に可能ですか?

可能ですが、リスクとは、安心するためのより良い方法であり、パスワード保管庫に対する二重認証です。ほとんどの場合あなたがあなたに持ち歩く物理的なトークンのようなさらに良いもの。そうすれば、攻撃者がボールトのマスターパスワードにアクセスできたとしても、アクセスを取得するには2番目の物理認証が必要になります。

私は Yubico がその特定の理由で本当に好きです。

0
amrx

パスワードマネージャーにマスターパスワードのみを記憶し、それでも安全にすることは可能ですか?

状況によります。誰もあなたのマスターパスワードを推測したり、解読したり、他の方法で入手したりすることはないと想定しているなら、あなたはできる限り安全です。

この問題は、誰かがマスターパスワードを入手した場合に発生します。別のパスワードを覚えている場合よりもはるかに大きな損害になります。

それは単に「すべての卵を1つのバスケットに保管する」ことです-それはあなたのパラノイアのレベルには多すぎるかもしれません。

たとえば、パスワードマネージャーにアクセスする前に、コンピューターにログインするためのパスワード(およびフルディスク暗号化のパスワード)を知っている必要があります。デバイスごとにこれを乗算します。

問題ない。 safe自体を暗号化する必要があります。その後、(暗号化された)安全な場所を必要に応じて、おそらく公共の場所でも複製できます(もちろん、ブルートフォース攻撃に耐性があると確信している場合のみ)バグやバックドアはありません)。

たとえば、自宅のPCとスマートフォンにKeePassを安全に保管しています。特にスマートフォンのバージョンは、手にした人なら誰でも簡単にアクセスできます。パスワードとプログラムは「安全」だと思います。私はそれを公共スペース(たとえば、githubリポジトリー)に配置しませんでした。なぜなら、ソフトウェアは今はきれいであると信じていますが、ソフトウェアが事後に悪いと判明したのは初めてではないからです。

これは少し異なる問題ですが、「パスワードは安全ですか?」これは与えられていると思います。

パスワードデータベースをバックアップする場合は、おそらくパスワードも必要になります(特に、バックアップにGoogleドライブやDropboxなどのクラウドベースのサービスを使用している場合)。

そもそもクリアテキストのパスワードデータベースは決してないので、これは問題ではありません。上記を参照してください、それは同じことです。

また、多要素認証を有効にしている場合は、携帯電話のパスワードも覚えておく必要があります(Google認証システムなどのアプリを使用している場合)。

もちろん、金庫にアクセスするために実際に使用するデバイスのパスワードを覚えておく必要があります。金庫とデバイスに同じパスワードを使用しない限り、何も変更されません。これは、少なくとも私のパラノイアのレベルでは、それが傍受される可能性が高くなるため、受け入れられません。

もっと良い方法はありますか、それとも私は何かを誤解していますか?パスワードマネージャへのパスワードだけを知る必要があることは本当に可能ですか?

原則として、上記の例外を除いて、はい。

0
AnoE