web-dev-qa-db-ja.com

ユーザーがパスワードマネージャーにパスワードを保存できないようにする必要があるのはなぜですか?

多くの銀行口座のWebサイトで取引を行うために2FAなどのいくつかの他のコントロールがあることを理解しています。一方、ユーザーのみがユーザー名とパスワードでアカウントにアクセスする必要があります。

LastPassのパスワードマネージャーにパスワードを保存できるのに気づいたのですが、他の銀行口座ではパスワードを何らかの方法で無効にしています。私は金融会社で働いていたため、この種の保護を作成することを検討しました。ユーザーがLastPassなどのパスワードマネージャーにパスワードを保存するオプションを無効にするオプションです。

この種類のクライアント側の暗号化ソリューションを実装するのは非常に簡単ですが、これらの銀行がなぜこの「特別な」セキュリティ保護ラインを実行するのでしょうか。

password-managementbankslastpass
10
Filipon

しないでください。

異なるサイトでの違反が同じユーザーの他のサイトに影響を与えることはないため、一意のパスワードはパスワードセキュリティの最も重要な側面の1つです。

サイトごとに一意のパスワードを作成することは、パスワードマネージャーなしではほぼ不可能です。さらに、パスワードマネージャーはより長いパスワードを有効にします。たとえば、私のパスワードのほとんどは固有で60文字で、特殊文字が含まれています。これはway以前に使用した以前の10文字のパスワードよりも安全で、パスワードを何度も再利用できます。

要するに;あなたのアイデアはおそらく悪い安全につながるでしょう。そして、セキュリティに関心のあるユーザーを深刻に怒らせます。代わりに、 NISTガイドライン に従い、ユーザーがパスワードを入力する方法を制御しないでください。

さらに、入力を制御するこのような試みは、障害を持つユーザーを損なう可能性があります。スクリーンリーダーと代替入力方法は、カスタムスクリプト入力オプションではうまく機能しない場合があります。

38
vidarlo

Vidarloが言ったように、あなたは[〜#〜] not [〜#〜]すべきです。

さらに、パスワードマネージャが機能しないWebサイト自体は無効にせず、パスワードフィールドへの貼り付けを無効にします。

通常、セキュリティを弱めると考えるため、パスワードコピーの貼り付けを無効にします。

  • ユーザーは知らないパスワードを貼り付けることができます(パスワードマネージャとは無関係)
  • 登録時に、ユーザーは最初のフィールドにパスワードを誤って入力して「繰り返しパスワード」フィールドに貼り付けることができます。両方のフィールドは一致しますが、意図したパスワードは含まれません(パスワードマネージャーとは無関係)
  • クリップボードはパスワード(ウイルス、他のユーザーによるアクセス...)、公平な点を危険にさらす可能性がありますが、パスワードの再利用/弱いパスワードはより大きなリスクであり、クリップボードスニッフィングよりもはるかに一般的です

セキュリティの低下につながるほか、「ユーザーがパスワードをパスワードマネージャーに保存するオプションを無効にするオプション」は、パスワードのコピー/貼り付けを無効にすることで、とにかく存在します。

どうして?この「オプション」はクライアント側で実行されるため、クライアント側では次の方法で無効な貼り付けを回避できます。

  • 追加value="mySecretPassword"をパスワード入力フィールドに
  • 削除onDrop=”false”および/またはonPaste=”false”入力フィールドに含まれている可能性があります(ただし、ほとんどの場合十分ではありません)
  • さまざまなブラウザ拡張機能のインストール
  • 貼り付けが無効になっている場合でも(Bitwardenなど)、パスワードフィールドに入力できるパスワードマネージャーを使用する
7
Theophany

他の回答のほとんどは、銀行がこれを行うべきではないと述べていますが、私はほとんど同意しています。しかし、私はあなたが尋ねた質問に答えます:なぜいくつかの銀行はこれをするのですか?

答えは簡単です。多くのパスワードマネージャーには、パスワードを漏らす脆弱性または侵害があります。たとえば、LastPassの this flaw です。

特に銀行がこれを阻止しようとする理由は、オンラインで詐欺に苦しむ場合、通常、彼らが責任を負うためです。他のほとんどのサービスプロバイダーでは、ログインの詳細に不注意がある場合、被害を受けるのはあなただけであり、プロバイダーではありません。しかし、銀行は非常に多くのシナリオで責任を負うため、リスクと考えられることを実行するのを止める正当な理由があります。

4
paj28

実際、Webアプリケーションでパスワードマネージャのサポートを無効にする理由は、多かれ少なかれ信頼できるものがあります。

主なものは、一時パスワード(強制変更、ワンタイムパスワード、TANなど)を使用しているときです。パスワードマネージャーに保存しないでください。

また、ユーザーを保護するために、自動入力を防止することもできます。理論的には、パスワードマネージャーは強力なマスターキーでパスワードを保護しますが、現実世界のほとんどのユーザーは、便宜上空のマスターキーを使用します。

クリップボードスニッフィングやその他の攻撃については既に触れましたが、脅威モデルによって異なります(キーロガーは、クリップアードスニッフィングマルウェアよりもリスクが高い可能性があります)。

無効化の目的は、主に貼り付けアクションではなくコピーアクションであり、副作用として貼り付けが無効化される可能性があります。

1
Tom