パスワードマネージャーとアカウントの回復

私は何年もパスワード保管庫を使用しており、マスターパスワードを忘れたことはありません。私が考える脅威は次のとおりです。

• 私のWebアカウントのハッキング：パスワードマネージャーは、簡単なランダムパスワード生成を提供します
• 盗まれた保管庫：パスワード保管庫はローカルデバイス（私の電話、妻の電話、および私たちのPC）にのみインストールされ、ネットワークに送信されることはありません=>デバイスのいずれかが盗まれた場合にのみ盗まれる可能性があります。すべてを変更する予定ですこれが発生した場合のパスワードはできるだけ早く
• 破損したボールト：3つの異なるデバイスに存在するため、3つが同時に壊れないようにし、壊れたコピーを正常なデバイスから復元できることを願っています
• マスターパスワードの紛失：妻と私が同時にそれを忘れないことを願っています。欠点は、私がそれをめったに変更しないことです。理想的には、物理​​的な金庫に保管されている紙に書かれるべきですが、リスクはそれだけの価値はないと考えています

私が受け入れるリスク：

• 私は妻を信頼しなければなりません...
• マスターパスワードはそれほど強力ではなく、頻繁に変更されません-しかし、ハッカーは最初に物理デバイスを盗むべきであり、それが発生した場合は含まれているすべてのパスワードを変更する予定です
• 3つのボールト間の同期は手動です。パスワードを追加または変更するたびに同期する必要があることを知っています。
• 悪意のある人物がボールトを保持しているデバイスの1つを盗むことができた場合は、それに気づき、マスターパスワードを破る前にすべてのパスワードを変更できることを願っています

緩和されていない脅威：

• ゴムホース攻撃 。私見それが発生しなかった場合、それはおそらく結果の点でより高いリスクですが、それでも防ぐのは難しいです
• サイト（銀行）に対する内部攻撃。私が使用するサイトを信頼する必要があります。

これが最良の解決策であるとは思わないが、それは単なる可能な解決策であり、myのニーズに合う解決策です。

パスワードマネージャがどのように機能するかについて混乱していると思います。あなたは電子メールの回復オプションの使用について言及していますが、それは真面目なパスワードマネージャーでは不可能です。パスワードマネージャーサービスはマスターパスワードを認識していないため、メールでそれを返すことはできません。それは不可能です。

一部のパスワードマネージャーは、緊急アクセス（例： LastPassの緊急アクセス ）をサポートしており、他のユーザーdelayedにボールトへのアクセスを提供します。これにより、数日間ログインしていなくても、誰かがボールトにアクセスできるようになります。これにはマスターパスワードの回復が含まれない場合がありますが（LastPassはパスワードの回復をサポートしていません）、Vaultのコンテンツにアクセスできます。このような回復方法を使用すると、マスターパスワードをボールトに保存し、信頼できる人と遅延した緊急アクセスを利用してマスターパスワードを回復できます。

緊急復旧戦略は、他人の金庫を使用してパスワードを保存するのと似ていますが、遅延が発生します。これには長所と短所があります。パスワードがすぐに必要な場合、遅延は面倒です。しかし、他の人のパスワード保管庫が何らかの形で危険にさらされている場合は、遅延により、あなたのアクセスが危険にさらされる前に緊急アクセスを取り消す時間が与えられます。

マスターパスワードのバックアップとして紙を使用する場合は、金庫などの安全な場所に保管してください。これはインスタントアクセスを提供しませんが、攻撃者が紙を見る可能性をほぼゼロに減らします。

もちろん、最も簡単な解決策は、マスターパスワードを忘れないことです。個人的には、変更するときにマスターパスワードを書き留め、数日持ち歩いて、覚えたら安全に処分（火事を検討）します。私はそれを忘れたことはありません（緊急復旧の設定はしているのですが）。

基本的に、すべてのパスワードを単一のパスワードに依存させたくない場合は、忘れてしまうかもしれません。そしてそれは合理的な予防策です。悪意のある「ハッカー」よりも、パスワードを紛失したためにパスワードマネージャにアクセスできなくなった方が多いと思います。

あなたは妻と共有するという解決策でこの問題を解決できます。両方がお互いのバックアップとして機能するだけでなく、新しい脅威にさらされるからです。誰かがあなたの妻のパスをハッキングした場合、彼らもあなたのものを手に入れます。私はまだ解決策は実用的だと思いますが、私はそれを「最善」とは言いません。

MFAについて話すと、少し複雑になります。 MFAトークン/コードを紛失した場合、パスワードだけでは不十分だからです。

例としてLastPassを使用すると、MasterPasswordを使用してすべてのパスワードが暗号化されます。これがないと、パスワードを取得できません-ただし、MFAコードは暗号化には使用されず、認証のみに使用されます。そのため、MFAトークン/コードを紛失しても、通常は電子メールのリセットによって回復できます。

メインのメールにMFAがある場合は、ここでどのようなウサギの穴が開いているかがわかります。 Gmailを使用している場合は、おそらくGoogleの従業員との長い往復の後、メールが返されます。これにより、LastPassアクセスを取得できます（LastPassのパスワードではなく、それが保存する暗号化されたblob）。これを行うと、妻のアカウントと出来上がりからパスワードを取得して通常に戻すことができますが、このプロセスには数日（場合によっては数週間）かかることがあります。

私の推奨は、MasterPasswordといくつかのバックアップコードを物理的にどこかに（インターネットから切断して）保存することです。紙の上、またはこの目的のために特別に使用するThumbDriveのいずれか。明確にするために、パスワードとコードは異なる状況で使用されるため、互いに別々に保持する必要があります。そして、誤って盗んだ泥棒はあなたのアカウントにアクセスできませんでした。

その物理的な「もの」は、あなたとあなたの妻が知っている場所で保護することができます-あなたの家の金庫、ロックされた引き出し、またはあなたが百科事典ブリタニカに隠している紙の片でも（私はまだそれらのうちの1つを盗んだ泥棒に出くわす）。

パスワードを紛失した場合は、lastpassパスワードを使用して、用紙/ドライブのパスワードを問い合わせます。 （MFAトークンが入っている）スマートフォンを紛失した場合は、MFAバックアップコードを入手できます（パスワードをまだ覚えているため）。

あなたが「天国で禁じられた」場合、あなたはあなたのパスワードとトークンの両方が失われる飛行機事故で死にます-あなたの愛する人は両方に連絡し、あなたのアカウントを再びアクティブにすることができます.

もちろん、誰かがあなたの家に侵入し、パスワードとトークンの「両方」を盗んでアカウントにアクセスする可能性は常にあります。これは私にとって取るに足るリスクです-裏側はパスワードを記憶し、バックアップトークンのみを書き留めることです。