パスワードマネージャーはまだ信じられないほど危険ですか？

パスワードマネージャーは異なるリスクをもたらしますが、すべてのリスクを排除するわけではありません。一般に、パスワードマネージャーが記憶されている数十のパスワードよりも本質的にリスクが高い場合は、議論の余地があります。中央のパスワードのリスクは、十分に実装されていないパスワードを数十持つリスクを上回りますか？それはすべて実装に依存する可能性があります。

パスワードマネージャーは、一意のパスワードの作成と「記憶」のプロセスを最大の複雑さで自動化し、定期的にパスワードの更新を自動化できます。それだけでなく、あなたがあなたがいると思うウェブサイトのログインページにいないという事実を強調することができます。これらのメリットをすべて渡すことは困難ですが、パスワードマネージャが適切に保護されていることを確認する必要があります。

すべての卵を1つのバスケットに入れると、アクセスが広範囲に及ぶリスクがあると言うのは正しいことです。しかし、そのリスクを軽減する方法はいくつかあります。たとえば、一部のパスワードマネージャーは、パスワードにアクセスするために2要素認証を必要とします。

「危険」は常に見る人の目にあります。ある人に受け入れられるものは別の人には受け入れられないでしょう。各個人/組織は、自分自身でその決定を行う必要があります。

[開示：1PasswordのメーカーであるAgileBitsで働いている]

他の人がうまく指摘しているように、パスワードマネージャーにはさまざまなリスクがあります。適切に設計されたパスワードマネージャーを使用することをお勧めします。

提起された「たまごの中の卵」問題に対処したいと思います。はい、パスワードマネージャーはすべての卵を1つのバスケットに入れるので、そのバスケットがどれだけ適切に保護されているかを確認する必要があります。しかし、パスワードマネージャーを使用しない場合と同じセキュリティの問題（バスケットにたくさんの卵が入っている）を見てみましょう。

パスワードの再利用も複数の卵をバスケットに入れています

Molly（私の犬の1つ）が10の異なるサイトとサービスでパスワード1chaseR4bbitsを再利用するとします。 （Mollyはそれほど明るい犬ではありません。）そうすることで、これらの10のサイトのそれぞれが同じバスケットの卵になります。彼女のパスワードが見つかった場合、それらのサイトの彼女のアカウントはすべて侵害されます。

それでは、その再利用バスケットがどれだけうまく保護されているかを見てみましょう。それは彼女のパスワードが転送中にキャプチャされることに対して脆弱であり、フィッシングに対して脆弱であり、10のサイトおよびサービスのいずれか1つの違反に対して脆弱です。実際、バスケットが大きければ大きいほど（パスワードを再利用するサイトが増えるほど）、脆弱性が高くなります。

簡単に言うと、パスワードの再利用により、保護が不十分な1つのバスケットに複数の卵が入れられます。優れたパスワードマネージャは、パスワードの再利用の問題を解決し、非常に堅実なバスケットを提供します。

雑多

フィッシング攻撃を、パスワードマネージャーのマスターパスワードに対する脅威としてリストしました。 1Passwordを使用すると、アプリは完全にローカルで実行されるため、フィッシング攻撃の余地はほとんどありません。ローカルで実行しているプログラムが1Passwordを偽装しようとする可能性があります。そのようなものは（まだ）見たことがないので、対策を有効にしていません。 （誰でもサイトキーを覚えていますか？

少数の強力で覚えやすい、入力可能なパスワードを維持することの難しさについて説明しました。約4年前、覚えておく必要のあるいくつかのパスワードに対してこれを行う方法についてのアドバイス（ より良いマスターパスワードに向けて を参照）を書きました。これは現在も有効なアドバイスであり（XKCDによって取り上げられました）、適切に追跡された場合、攻撃者が使用したシステムを正確に知っていても強力なままです。

パスワードマネージャーcouldはセキュリティホールになる可能性がありますが、そのオプションとエンドユーザーによる使用方法のみに基づいています。私が使用しており、すべてに精通しているオープンソースのパスワードマネージャーには、キーロガーを無効にするオプションがあり、フィッシングが不可能であることは間違いありません。オプションを微調整して、2要素認証なしでパスワードDBが自動的に開かれるようにし、さらにすべてへの自動ログインが常にオンになるようにする場合、ワークステーションに物理的にアクセスするだけでハッカーはキー（またはすべてのキーをコピーする機能）。

セキュリティはチームスポーツです。リスクとオプションは、追加のソフトウェアツールの有無にかかわらず理解する必要があります。

パスワードマネージャーをOpenIDと間違えていますか？パスワードマネージャーのマスターパスワードをフィッシングする方法がわかりません。

とにかく、私のパスワードマネージャーはアプリまたはブラウザープラグインのいずれかによってアクセスされ、新しいデバイスまたは米国外のどこからでもMFAを必要とします。

信頼できるデバイスが安全でない場合、それは危険であり、それはいつものように依存すると思います。

少なくともラストパスのパスワードマネージャーは、たとえ偽のドメインを捕まえなくても、フィッシングの原因に対して非常に役立ちます。

マルウェアがパスワードマネージャーに対する最も重要な脅威であることは、あなたの言うとおりです。

パスワードマネージャーを安全に保つ1つの方法は、パスワードマネージャーを携帯電話に置くことです。この時点で、お使いの携帯電話は、ラップトップよりもマルウェアのリスクがいくらか低くなっています。

セキュリティを非常に重視している場合は、2台目のデバイス（iPod touch？）を入手して、パスワード管理のみに使用し、他には何も使用しないようにすることができます。ワイヤレスをオンにすることすらありません。インターネットに接続することは言うまでもありません。その場合、デバイスはマルウェアのリスクが非常に低くなります。

多くのパスワードマネージャには、マルウェア対策の注意事項があります。たとえば、Windowsで1passwordを使用すると、昇格したセキュリティプロンプトでマスターパスワードを入力できます。キーロガーを無効にする可能性のあるクリップボードとキーボードの操作の混在など、アプリケーションにパスワードを安全に送信するためのトリックもあります。これらの予防策は完全ではありません。ラップトップ上のマルウェアは完全な妥協を意味すると想定する必要がありますが、一般的なマルウェアの多くを打ち消します。

最終的には、他の人が指摘したように、パスワードに対してどのようなアプローチをとっても、ある程度のリスクがあります。私は、パスワードマネージャを使用するほとんどの人にとって、どこでも同じパスワードを使用するよりも望ましいと考えています。これは、他の一般的なアプローチのようです。

はい、パスワードマネージャーは危険ですが、行うすべてのことにはリスクがあります。実際には、たくさんのアカウントが必要です。したがって、Xを実行することのリスクは何かだけを考えるのは誤りです。オプションを確認し、リスクを伴うオプションを選択する必要があります。

典型的な脳はいくつかのパスワードしか覚えられません。パスワードを書き留めない場合は、複数の場所で同じパスワードを使用するか、すべてのアカウントのパスワードを生成する簡単なシステムを使用する必要があります。同じパスワードをもう一度使用するのはよくありません。人間が生成に使用するシステムは、あなたの脳が良い暗号を行うことができないため、ほとんどが弱いです。どちらの場合も、パスワードはあまり安全ではありません。

したがって、パスワードを書き留めるか、弱いパスワードを選択するしかありません。それらを書き留めておきたいと思います。

はい、誰かがあなたのコンピュータにアクセスできる場合、彼はあなたのコンピュータにキーロガーをインストールしてパスワードを盗みました。まず、パソコンにパスワードを設定し、次にパスワードマネージャーにパスワードを選択します。