パスワードマネージャーはアカウント復元でどの程度安全ですか?
主要な商用パスワードマネージャー企業は、「ゼロナレッジ」システムを持っていると主張しています。これは、ユーザーのマスターパスワードがデータを復号化する唯一の方法であり、どこにも保存されないことを意味します。そのため、会社でさえマスターパスワードを知らないか、ユーザーデータにアクセスできません。私は KeeperSecurity 、 LastPass 、 Dashlane および 1Password を使用しました。
ここまでは順調ですね。しかし KeeperSecurity および LastPass は、ユーザーがマスターパスワードを失ったときにアカウントを回復する可能性を提供します。マスターパスワードがデータにアクセスする唯一の方法であり、ユーザー以外は誰もそれを知らない場合、これはどのようにして可能ですか?
KeeperSecurityは、マスターパスワードで暗号化されていないユーザーデータの2番目のコピーを保存することによってこれを管理しますが、以前に尋ねられた、セキュリティの質問で回答します。しかし、これはユーザーのデータにアクセスする別の方法があることを意味します。そして、誰かがセキュリティの答えを知っている可能性があります。復旧には、メールアカウントと2番目の認証要素へのアクセスが必要です。しかし、マスターパスワード以外にも、データにアクセスする可能性があります。
Dashlaneと1Passwordはアカウント復旧を提供しません。
これらのパスワードマネージャーが安全になりすまし、マスターパスワードがデータにアクセスする唯一の方法であると主張しながら、その一方で回復オプションを提供するにはどうすればよいでしょうか。
回復オプション付きのパスワードマネージャーについてどう思いますか?つまり、パスワードマネージャーを使用しているすべての人は、マスターパスワードを紛失することに注意する必要があります。
回復オプション付きのパスワードマネージャーは本当に信頼できますか?たぶん誰かがそのような回復システムのセキュリティについて少し評価することができます。
適切に保護されている限り、回復オプションは完全に問題ありません。マスターパスワードを紛失した場合や、パスワードへのアクセス権を持つパスワードマネージャー会社を信頼したい場合に、パスワードを紛失したいかどうかは、あなた次第です。
セキュリティは目的を達成するための手段であることを忘れないでください。常にトレードオフがあります。あなたはコンピュータを持っていないことによって完全に安全なコンピュータを持つことができます。ただし、ユーザビリティは低下します。
編集:
コメントの人々は、「回復オプションを備えたパスワードマネージャーはどの程度安全か」という具体的な質問に答えてほしいので、いくつかのポイントを追加します。
安全な回復オプションを提供することは可能ですが、これは常に攻撃者のモデルに依存します。 セキュリティは常に攻撃者のモデルに依存します:パスワードはマインドリーダーに対して非常に悪いです!
ここでは、合理的に安全な回復スキームの考えられるアイデアをいくつか示します。
- 別のキーでデータベースのコピーを暗号化し、ユーザーにこのキーを印刷して金庫に保管するよう依頼します。これが、keybase.ioまたはUbuntuドライブの暗号化です。
- 会社のキーを必要とするDBコピーをユーザーのマシンに保存します。
- 会社には2つの部門があり、1つはDBコピーを保管し、もう1つは鍵を必要とします。回復したい場合は、身元を確認し、その一部を送信します。
ただし、これらのいずれも、他の誰かがあなたのパスワードを入手することが不可能であることを意味します。 (「ゼロナレッジ」を使用していない 特定の意味 であるため、パスワードに適用するとまったく異なる動作をする)すべての従業員が共謀したり、金庫が壊れたりした後に。
あなたのためのすべての回復オプションは、回復オプション、またはパスワードを盗むための代替攻撃パスでもあります。
覚えておいてください:「Xはどのくらい安全ですか?」攻撃者のモデルは明白であるか、明記されている必要があります。 セキュリティは常に攻撃者のモデルに依存します!絶対的なセキュリティはありません。
これは信頼できる人の質問です。パスワードマネージャー、具体的にはオンラインマネージャーを使用するときは、信頼します。確かに、パスワードボールトは秘密のマスターキーで解読できる安全に暗号化された形式で保存されており、パスワードマネージャーがそのキーを漏らさないことが信頼できます-解読時にそれを知る必要があります。回復手順を提供する人にとって、メインシークレットは、秘密キーまたは代替キーのいずれかで復号化できます。秘密の質問に答えるだけでよい場合、攻撃者がパスワードにアクセスするには、秘密の質問への答えを知っていれば十分です。マスターパスワードを推測する方がはるかに簡単な場合は、グローバルセキュリティが低下しています。
回復にセキュリティの質問への回答の両方が含まれる場合andメールボックスへのアクセスは、両方で最も安全です。たとえば、メールボックスで2FAを使用している場合は、それで問題ありません。ここでもメールプロバイダーを信頼しているからです。
とにかく、パスワードマネージャーを使用する場合、パスワードマネージャーが十分に安全な手順(*)を持っていることを認め、パスワードが最弱点ではなくなったことを保護します。言い換えると、攻撃者が自分のシステム(マスターパスワードを入力する場所)をハッキングする方が、パスワードマネージャーをホストしているシステムよりも簡単であると認めます。そうしない場合は、そのパスワードマネージャを使用しないでください。
(*)ここでは手順について説明します。これは、システムのセキュリティにはソフトウェア以上のものが含まれるためです。また、データセンターの物理的なセキュリティ、およびシステムの管理者権限を持つすべての従業員を信頼できるかどうかも考慮する必要があります。
私の意見ですが、これらの理由からオンラインパスワードマネージャーを使用することにまだ抵抗していることを認め、プライベートバックアップを備えたローカルの保管庫を使用する必要があります。
これは、ユーザーのマスターパスワードがデータを復号化する唯一の方法であり、どこにも保存されないことを意味します。
いいえ、ありません。 「ゼロの知識」とは、たとえ銀の大皿にデータが渡されたとしても、会社の誰も、ハッカーを除いて、ブルートフォース時間未満でデータを解読できないことを意味します。データは「保存」されますが、暗号化された形式で保存されます。ゼロの知識とは、データがシステムのどこにも平文で保存されないことを意味します。
データを取得する方法が2つ、3つ、または5つある場合でも、さまざまに暗号化された形式から情報のビットを取得できない限り、安全です(おそらく、これを阻止するためのランダムなパディングがあるでしょう)。
質問があなただけが答えることができるものであるか、または2FAを必要とするものである限り、データを取得するための複数の方法を持っていることは依然として合理的に安全です。
LastPassのドキュメントには、パスワードをリセットするために次のことを行うように記載されています。
[password]ヒントが役に立たない場合は、[アカウント復旧]ページに移動して、ローカルのワンタイムパスワードをアクティブにします。これにより、マスターパスワードを変更することができますそのコンピューターで以前にLastPassにログインしたことがある場合これがパスワードをリセットする唯一の方法です。これを試す必要がありますすべてのブラウザおよびthe LastPassプラグインを使用してアカウントにアクセスしたすべてのコンピュータ。この方法は、モバイルデバイスでは機能しません。アカウントの復元は、モバイルデバイスまたはアプリではサポートされていません。マスターパスワードの変更、アカウントの復帰、またはLastPassのブラウザーキャッシュの消去は、破壊できますこれらのファイル。
これは、関連するキー情報(またはおそらくボールト全体)が、LastPassのサーバーではなくブラウザーに存在することを強く示唆しています。そうでなければ、これらの制限は意味をなさないでしょう。
マスターパスワードを更新した場合過去30日以内これらの手順を実行して、元のマスターパスワードに戻すように戻すことができます。 LastPassサポートでこれが最善の方法であることを確認していない限り、「復元」オプションを選択することはお勧めしません。
これは、キーイングマテリアルの古いコピーを30日間保持することを示しますが、暗号化されていないことを意味するわけではありません。
他のリンクでは、「アカウントでアカウントの復旧が有効になっている場合は、マスターパスワードをリセットする手順を説明します」とのみ記載されているため、キー情報をどこに保管するかを評価するための十分な情報は提供されません。その手順が何を伴うのか、またはまったく新しいコンピューターで実行できるかどうかは記載されていません。