パスワードと2要素のシークレットの両方を1か所に保存するパスワードアプリはどの程度安全ですか？

はい。2FA生成/リセットコードをパスワードマネージャーに保存した場合でも、サイトで2要素認証（2FA）を有効にすると、セキュリティがわずかに向上します。攻撃者がキーストロークまたはWebサイトに送信している資格情報を監視できるが、パスワードデータベースをダウンロードできないシナリオでは、2FAが有効になっているアカウントにログオンできません。シード/リセットコード。これは一般的なシナリオではありませんが、スクリプトキディがキーロガーソフトウェアを入手する一方で、パスワードデータベースを見つけて盗む技術的スキルがない場合があります。中間者攻撃も、パスワードデータベースにアクセスせずに資格情報を収集します。

より良い解決策は、2FA生成/リセットコードを別のパスワードデータベースに保持し、プライマリパスワードで保持され、別の場所に保存されたパスワードでロックすることです。そうすれば、パスワードデータベースとマスターキーを持っている人でも2FAで保護されたアカウントにアクセスできなくなり、携帯電話（または他の2FAデバイス）が紛失した場合でもアカウントを回復できます。

私はアロンの答えに同意しますが、パスワードマネージャーにOTPコードを含めると、多要素認証の精神を損なうことになります--知っていること-パスワード-あなたが持っているもの-通常はあなたの電話です。

2FAを使用してパスワードマネージャーにアクセスすることで十分な保護になる可能性がありますが、OTPジェネレーターをパスワードの横に格納すると、それが真の第2要素ではなくなることを明確にしてください。これらは両方とも、単一の要素知っていることです。これは、パスワードマネージャで同時に侵害される可能性があります。

パスワードマネージャーにOTPジェネレーターを配置することが最悪の選択肢である場合があります。ユーザーごとのアカウントを提供しない会社で使用されているプロバイダーを検討してください。そのため、チームメンバーは1つのログインを共有する必要があります。このサービスでは、複数の2FAデバイスが許可されていない場合や、ログインが必要な可能性のあるチームメンバーがすべての2FAデバイスをセットアップできない場合があります。そのような状況では、パスワード管理サービスで2FAと組み合わせると、パスワード管理ソリューションを介してパスワードとOTPジェネレーターを共有することが最悪の選択肢になる可能性があります。これは、ターゲットサイトの2FAを無効にする代わりの方法よりも優れているため、ログインを共有できます。

1Passwordには、ローカルモードとクラウドモードの2つのモードがあります。

1つのデバイスにローカルボールトがあり、別のデバイスにオーセンティケータがある場合、2つを1つのデバイスに結合すると、セキュリティが低下する可能性が非常に高くなります。

ローカルボールトと認証システムの両方を1つのデバイスにのみ保存した​​場合、セキュリティはおそらく改善されません。誰かがキーロガーをインストールする能力を持っている場合、おそらくそれらはオーセンティケーターの秘密を複製する能力を持っています。

クラウドモードで1Password内に2要素認証の両方の要素を保存すると、セキュリティが低下すると思います。 1Passwordボールトを危険にさらしている誰かが世界中のどこにでもいる可能性があります-「あなたが持っているもの」というコンセプトの背後にあるポイントをいくぶん控えめに表現します。

これは、1Passwordの侵害が簡単であると言っているのではありません。マスターパスワードと同様に、秘密鍵（技術的にはどちらも「知っているもの」です）と潜在的なワンタイムパスワードまたはその他のセキュリティデバイスがあります。