web-dev-qa-db-ja.com

オンラインサイトのすべてのパスワードを管理するための実用的(そして正気)な良い方法は何ですか?

私は自分のすべてのパスワードを管理するやや安全な方法を望んでいる単なる人間です

これは私が延期していることですが、 LinkedInが私のパスワードの1つを提供することを決定した 以来、私はこの問題に対処する時期だと考えました。

いくぶん安全と言います。なぜなら、明らかに-最も安全な方法は、私がすべてのサイト用に作成した一意の200文字のパスワードをすべて覚えておくことです。

選択した特定のWordと組み合わせて、URLごとにハッシュを作成できるさまざまなサイトがあることを知っているので、それが私が求めているものだと思います。

書き留めることもできます ですが、自分のパスワードを携帯しないと、私は大きな問題を抱えており、そのように不器用です。

異なるサイトのパスワードを管理するための実際的な方法は何ですか(書き留めない限り)? Chromeプラグインハッシュジェネレーターを調べますか?オンラインサービスですか?

passwordshashpassword-management
26
rburhum

私がすることは次のとおりです:

  • パスワードを書き留めます。

多くの人々は私をうんざりさせ、悲鳴を上げ、私を呪い、これは間違っているので決してすべきではないと言いますが、これは主張を単純化しすぎです。詳細は重要です。詳細は次のとおりです。

  • パスワードはテキストファイルに保存します。

  • 家を出てパスワードにアクセスする必要があるときは、ネットブックを持っていきます。そのコンピューターにはいくつかの特徴があります。

    1. bunt (Linuxディストリビューション)を実行します。
    2. スワップ空間は構成されていません。 「RAM内」とは実際には「物理RAM内」であり、永続的なストレージにはなりません。
    3. /tmpディレクトリはtmpfsです。つまり、そのディレクトリ内のファイルはRAMにのみ存在します(これは物理RAMです。上記を参照してください)。
    4. 私はいつもマシンをシャットダウンしました。 「スリープモード」にしたことはありません。

    これらの状況下では、/tmpでファイルを書き込み、それを読み取ってコンピューターをシャットダウンすると、マシンを盗む悪意のあるユーザーがファイルの内容にアクセスできないことが合理的に保証されます。

  • パスワードでいっぱいの私のファイルは GnuPG で対称的に暗号化されており、大きくて太い、強力なパスフレーズ(thatパスフレーズ、私は頭の中に留めています).

  • パスワードを使用する必要がある場合は、ファイルを復号化します/tmpディレクトリを使用して、その直後にファイルを消去します。そして、私がコンピュータを使用する必要がなくなったとき、私は自分の習慣と同様に、それをシャットダウンしました。

これらの条件下では、私のパスワードはかなり安全です。これは完璧ではありません。私のコンピュータが静かにハッキングされ、攻撃者が私が行うすべてのことを長時間観察できる場合、彼は私のパスワードを取得します-しかし、悪意のあるコードを差し込むだけで、これらの状況下でとにかくパスワードを取得しますWebブラウザー自体(パスワードの管理方法に関係なく、Webブラウザーのコードは、パスワードを要求するサーバーにパスワードを送信する必要があるため、ある時点でそれらを取得します)。私の方法は、いくつかのサイトでパスワードを再利用するという一般的な方法よりもはるかに安全であると私は主張しています。 パスワードを再利用しないでください!

(実際には、私が頻繁に入力するパスワードを覚えているため、パスワードのファイルにアクセスする必要はほとんどありません-頻繁に入力しないパスワードは、まあ、定義上、めったに入力しません。)

19
Tom Leek

KeePass のようなパスワードマネージャを使用します。

所有するアカウントごとに異なるパスワードを自動生成します。これにより、パスワードが人間の脳が処理できるよりもはるかに複雑ではるかに異なることが保証されます。また、自分でパスワードを知らなくても、多くのソーシャルエンジニアリング攻撃から保護できるという利点もあります。

しかし、複数のデバイスがある場合はどうでしょうか?健全なパスワードマネージャは、パスワードデータベース全体のマスターパスワードを要求し、それから派生したキーで強力に暗号化します。つまり、マスターパスワードが十分強​​力である限り、パスワードファイルは保存して公開します。それはあなたが使うことさえできることを意味します クラウド デバイス間でパスワードファイルを同期するために、他の誰か(dropbox.comなど)が所有するサーバー。

Lastpass パスワード管理とオンライン同期を組み合わせますが、 過去に発生したいくつかのセキュリティ問題のため それらを推奨することには少し消極的です(どれも可能性が高いとは言えません)ユーザーのクリアテキストのパスワードを漏らしたこと)。

14
Philipp

オフラインのソリューションを探している場合は、Steve Gibsonの Off The Grid を使用できます。これは、ドメイン名をパスワードにハッシュできる紙ベースの暗号化です。これにより、サードパーティのソースを信頼する必要がないため、セキュリティが大幅に向上します。忘れるかもしれないとおっしゃっていましたが、財布に入れるのは簡単です。

その基本は、26x26の文字のテーブルを取ることです。この表は、数独と同様のルールに従います(各行と列の各文字の1つのみ)。これは、多くのエントロピー(最低でも1400ビット)から始まります。基本的な使い方はかなり簡単です(もう一度入力し直す必要はありません)。それに対する最大のリスクは、誰かが物理的にグリッドを盗んだ場合です。それでも、あなたがゆっくり取ることができるいくつかのステップがあります(誰かがそれを盗んだことに気付くのに十分なほど簡単に長くなければなりません)。これらの方法には、

  1. 別の開始場所の選択
  2. ソルティング(暗号化を実行するときに何かを追加/追加することでこれを行うことができます)
  3. 次の2文字を選択する代わりに、暗号化を実行するとき(適切なページを読む)。代わりに、おそらく次の3つの文字を選択します。
5
Dracs

VeriSignの Personal Identity Portal を使用したい。多くの主要なWebサイトで自動的に機能し、独自のカスタムサイトを追加することもできます。また、OpenIDもサポートしています。最良の機能は、現在のページに自動的にログインするJavaScriptスニペットを提供するワンクリックサインインです。

4
jackvsworld

大量のパスワードを管理する最良の方法は、メモリにコミットしたパスワードの後ろに暗号化されたリストを保存することです。

@Tom Leekはこれを難しい方法で行っているようです。簡単な方法は、@ Mattで言及されているプログラムの1つを使用することです。簡単な方法はやや安全性が低いかもしれませんが、簡単な方法はほとんどのユーザーにとって十分に安全であると思います。選択するプログラムによっては、モバイルデバイスを含むさまざまなプラットフォームで同じリストファイルを使用できる場合があります。

パスワードの管理方法は、パスワードの生成方法とはまったく別の問題ですが、リストに依存する場合は、サイトごとに一意のランダムパスワードを設定できます。ランダムではないパスワード生成スキームに従う必要はなく、パスワードを再利用する必要はなく、いつでもパスワードを変更する問題はありません。 (ただし、パスワードを生成する場合は、Webサイトで生成されたパスワードを使用しないことをお勧めします。プログラムで実行する場合は、ローカルで実行してください。)

リスト自体の暗号化が安全で、リストを復号化するためのパスワードが安全であれば、暗号化されたリストへの不正アクセスを心配する必要はありません(たとえば、Dropboxに保存したり、携帯電話を紛失したり、コンピューターを盗んだりすることによる) 。欠点は、リストのパスワードが危険にさらされると、ファイルに保存されている他の情報とともに、リストのすべてのパスワードも危険にさらされることです。これは本当に悪いですが、リストのパスワードをどこにも保存する必要がなく、ローカルアプリの外部で使用する必要がないこと、および他のオプションでは、暗号化されたリストを使用することは、少なくとも検討する価値があります。

4
ShadSterling

私は、Dropboxを介してデータを複製し、私が使用するほとんどのブラウザーやアプリと統合するパスワードマネージャーを使用しています。私のメールアカウント、コンピューター、パスワードマネージャーなど、いくつかの長いマスターパスワードを除いて、自分のパスワードがわからないだけです。それらはすべて非常に長いランダムな「ゴミ」であり、サイトごとに固有であり、それらが失われた場合、何らかの理由でサイトの回復機能を使用して新しいサイトを設定します。

むかしむかし、私はさまざまなスキームを使用して「賢い」パスワードパターンを考え出しました。 URL、またはその他のサイト固有の主要な情報からですが、それは単に覚えるには多すぎます。異なるコンテキストで同じパスワードが必要な場合(複数の関連サイトが単一のユーザーdbを共有している場合など)、またはパスワードを置き換える必要がある場合、パターンが例外で謎に包まれました。賢いことは、努力するだけの価値はないことがわかりました。

2
axl

これが私がすることです:

長いマスターパスフレーズは1つだけ覚えてください。

登録するすべてのサイトに対してランダムに生成されたパスワードを生成します。

また、暗号化をサポートするソフトウェアで、マスターパスフレーズを使用してすべてを暗号化します。 CBCモードでAES-256を使用したOneNoteのような強力な暗号化を備えたソフトウェアであることを確認してください( http://www.cjmorgan.org/tech-blog/2015/1/8/default-encryption-settings-and-behaviors -for-onenote-2013-office-365 )。

ランダムに生成されたパスワードをコピーして、必要なときにログインする必要があるサイト/アプリに貼り付けます。

こちらです:

  • 1つのサービスが侵害されても、他のサービスは公開されません(yahoo、Adobe、snapchat、すべてが過去に侵害されました)
  • 私たちは1つの「テンプレート」パスワードを記憶し、サイトに対してそれの複数のバリエーションを行う傾向があるため、サービス間のパスワード間のゼロ相関。

2016年には、30以上、40以上のサイトのパスワードを保持する必要があります。露出が高すぎる、これまでに登録したサイトの1つが侵害された可能性がほぼ100%あり、他の誰かが世界中のどこかでパスワードを持っている( https://haveibeenpwned.com/ )。

あなたのマスターフレーズについて知っておくべき唯一の人はあなたの意志を管理する人です。

0
Wadih M.