web-dev-qa-db-ja.com

コンピューターのロック時にパスワードマネージャーがDBを自動的にロックすると、どのような利点がありますか?それをオフにすることの短所?

PCのロックを解除すると、パスワードマネージャー(すべてのタイプ)は、パスワードを含むDBのロックを解除するためにパスワードを再度必要とします。私のコンピューターはとにかくロックされているので、その利点は何なのかと思っていました。

ここでいくつかの質問を読んだ後、これはコールドブート攻撃を防ぐためであることを理解しています。他に利点はありますか?

または別の言い方をすれば、PCをロックしている間にDBのロックを解除したままにしておくと、結果として生じるセキュリティリスクは何ですか?

3
T-Dawg

防御システムの重要な原則の1つは、攻撃対象を減らすことです。特にパスワードマネージャーなどの重要なシステムに関しては、非常に高いセキュリティ標準を適用し、必要な場合にのみそれらを公開する必要があります。そのため、パスワードマネージャーが不要な場合はいつでもロックするのが理にかなっています。

パスワードマネージャーは、特定の(通常は構成可能な)時間の後、または特定のイベントでロックすることができます。画面をロックするときにパスワードマネージャーを自動的にロックすることは理にかなっています。パスワードマネージャーはその瞬間には必要ないことを確認できるからです。正当な所有者が現在不在の場合、なぜそれを公開したままにするのですか?

それでは、実際のリスクは何ですか?最も可能性の高い2つのシナリオを見てみましょう。

  • 誰かがコンピュータのロックを解除できます何らかの理由(弱いパスワードまたは書き留められたパスワードなど)。パスワードマネージャーにアクセスするために必要なのは、コンピューターのロックを解除することだけです。ログインを解除することは、パスワードマネージャーを解除することと同じです。第二防衛線がないと、セキュリティが低下します。
  • 誰かがネットワーク経由でシステムを危険にさらしています。 PCの前に誰も座っていないからといって、誰もPCと対話できないわけではありません。ネットワークを介してシステムが侵害され、攻撃者がデスクトップセッションにアクセスできるようになった場合は、とにかく深刻な問題が発生していますが、すべての資格情報を銀の大皿に攻撃者に渡す必要はありません。パスワードマネージャーのロックが解除される期間が短いほど、攻撃者がアクセスする可能性は低くなります。ただし、考慮すべき小さな欠点があります。攻撃者がキーロガーを使用している場合、再度ログインしたときにパスワードマネージャーのパスワードを取得できるため、あまり頻繁にログインしない方が魅力的なように聞こえるかもしれませんが、実際には、攻撃者があなたを乗っ取っても違いはありません。 PC。遅かれ早かれ、パスワードマネージャーにログインし、キーロガーがあなたを待っています。

ご覧のように、このシナリオではとにかくすべてを失ったので、リモートの侵害はそれほど心配する必要はありません。主な問題は、誰かがあなたのマシンにログインし、あなたのパスワードマネージャーに直接アクセスできることです。基本的に、パスワードマネージャーが提供しようとしている防御の2行目を失います。

忘れる前に、コールドブート攻撃について説明しました。私はあなたがそれらについて心配する必要はないと思います。コールドブート攻撃を実行することは非常に困難であり、多くのアクターが実行することはありません。あなたが本当にそのような公開された価値の高いターゲットであり、コールドブート攻撃を心配する必要がある場合は、必要以上に1秒でもパスワードマネージャーを開いたままにしておくことを検討すべきではありません!

自動ロックを無効にすることが、パスワードマネージャーの資格情報を頻繁に入力しないようにするリスクがある場合は、判断する必要があります。私はより安全なルートを取ることをお勧めすることができます、今の決定はあなた次第です。

0
Demento