web-dev-qa-db-ja.com

パスワードマネージャーのガイドライン

私はLastpassを使用しており、組織で使用するためのポリシーを設定するために他のパスワードマネージャーをテストしています。設定によっては、これらのプログラムが自動的にパスワードを予期しない場所に送信する可能性があることがわかりました。例えば:

パスワードセーフ:パスワードセーフの「URLの閲覧と自動入力」機能は、デフォルトのブラウザを開き、ユーザー名とパスワードを入力して、キャリッジリターンを生成します。 IEおよびChromeでは、これにより、検索語としてパスワードを使用したWeb検索が行われ、パスワードが予期しない場所にブロードキャストされます。

LastPass:Lastpassは、「hr.company.com」と「testing-apps.hr.company.com」を区別するのに問題がある場合があります。 hr.company.comの自動ログインを有効にしました。その後、Lastpassはtesting.hr.company.comに自動ログインしようとしましたが、失敗しました。テストしているので、これによりhr.company.comの資格情報を含むログファイルエントリが生成されました。パスワードをすばやく変更し、自動ログイン設定の使用を再評価するように強制されました。

私の質問はこれです:これらはパスワードマネージャーの安全でない使用の唯一の例ではありません。他にどんな落とし穴がありますか?組織内でパスワードマネージャーを安全に使用するためのガイドラインを誰かが推奨できますか?

2
mcgyver5

ホスト名hr.company.comおよびtesting-apps.hr.company.comは、適切なブラウザセキュリティモデルの分離を引き起こしません-hr.company.comtesting-apps.hr.company.comおよびtesting-apps.hr.company.comで読み取ることができるよりもCookieを設定する可能性がありますhr.company.comドメインにCookieを設定できるようになります。したがって、どちらかを使用するには、hr.company.comtesting-apps.hr.company.comの両方を信頼する必要があります。したがって、LastPassが誤って1つのアプリケーションのパスワードの詳細を入力することは、それほど大きな欠陥ではないと主張できます。テスト環境では、見つかった脆弱性がライブドメインを公開するのを防ぐために、完全に別のドメインにいること。さらに、パスワードをログファイルに保存しないでください。小さなバグと見なされる可能性がありますが(別のサブドメインのフォームに入力する前にプロンプ​​トを表示する必要があります)、それ自体は大きなセキュリティ上の弱点ではありません。基盤となるWebアプリケーションは次のことを行う必要があります。ブラウザのセキュリティモデルの検討を含む、信頼できること。 testing-apps.hr.company.comは内部でのみ利用可能である可能性があります。ただし、これにより、ローカルの攻撃者がテストバージョンの欠陥を使用して別の従業員のライブアカウントを侵害する可能性があります。

この場合、構成によってこの特定のパスワードマネージャーをより安全にすることができます。例えば自動入力を無効にします。設定にはRLルールというオプションもあります。ここで、ホスト名が完全に一致する必要があるかどうかを設定できます。あなたが指摘したように、安全でない方法でソフトウェアを使用している人々を止めることはできません。あなたは彼らを導き、教育することしかできません。

私の質問はこれです:これらはパスワードマネージャーの安全でない使用の唯一の例ではありません。他にどんな落とし穴がありますか?組織内でパスワードマネージャーを安全に使用するためのガイドラインを誰かが推奨できますか?

エンタープライズレベルであるかどうかにかかわらず、すべてのアプリケーションに欠陥があります。ブラウザベースのパスワードマネージャの利点は、フィッシング攻撃から保護できることです。 URLが検証され、デフォルトでは、そのURL用に保存された資格情報のみが入力されます。これを保護したい場合は、ブラウザベースのパスワードマネージャーを使用する必要があります。ブラウザベースのものを使用するリスクが大きすぎる場合は、別のアプリケーションを使用できますが、悪意のあるWebサイトであるかどうかに関係なく、知らないユーザーが誤って間違ったWebサイトにログインし、ログイン資格情報が3番目に公開される可能性があることを受け入れる必要があります。パーティー。

具体的なガイドラインは、使用するソフトウェア、組織内でのパスワードの使用方法、および組織自体によって異なります。例えば。組織はクラウドを信頼していますか、それともすべてが社内で行われていますか?信頼できる内部サーバーにパスワードデータを保存する方がよい場合もありますが、組織はインフラストラクチャが適切に保護され、データが適切に暗号化され、暗号化キーが安全に保存されるようにするという追加の作業を引き受けます。

3
SilverlightFox

Lastpassのようなパスワード管理ツールは、サーバーにデータを保存しているため、 今年初めの大きな脆弱性 につながります。 Lastpassはホームベースのマシンに使用するのに最適かもしれませんが、 エンタープライズパスワードマネージャー は存在し、インフラストラクチャに存在する必要があります。 「クラウドは同じくらい安全です」と私が述べる「ネットワークがダウンする...クラウドプロバイダーがダウンすると...パスワードもダウンする」と議論する人もいるでしょう。いずれの場合も、NISTにはSP800-118があります。 エンタープライズパスワード管理ガイド ドラフト形式ですが、ガイダンスを提供する必要があります。

2
munkeyoto