web-dev-qa-db-ja.com

パスワードマネージャー:ラップトップでもスマートフォンでも安全ですか?

非技術系の友人や家族にパスワードマネージャーをすすめ、セットアップして使用する手助けをしたいと考えています。私がしなければならない決定の1つは、ラップトップで動作するものを推奨するか、スマートフォンで動作するものを推奨するかです。

スマートフォン:

  • アプリケーションの分離が大幅に向上します。これは最大のプラスです。
  • どこにでも持ち運びが可能で、オンラインパスワードマネージャーを検討する必要さえありません。なぜなら、人々はすでにパスワードマネージャーに常にアクセスできるからです。
  • 分解するのは大変です。デスクトップやラップトップに対するコールドブート攻撃が非常にまれである場合、スマートフォンに対してはさらにまれだと考えます。
  • 入力するのが面倒で、マスターパスワードの長さを制限できます。一方、ほとんどの非技術者は、おそらくコンピューターでもあまり速く入力しません。
  • スマートフォンのパスワードマネージャーが1つではないため、パスフレーズを生成できます。パスフレーズは、ランダムパスワードよりもコンピューターに入力する方がはるかに簡単ですが、同等に安全です。 (5つのランダムな単語(43k-words辞書)には75ビットのエントロピーが含まれ、12文字(英数字、大/小文字混合)には70ビットが含まれます)。

ノートパソコン:

  • ブラウジング時に間違ったものをクリックすることにより危険にさらされる可能性があります。スマートフォンにはそれほど問題はないと思いますし、誰かがストアから悪いアプリをインストールしたとしても、隔離する必要があります。
  • パスワードをスマートフォンから上書きするのではなく、コピーして、より強力なパスワードを許可します。 (90%の確率で、スマートフォンではなくノートパソコンでアカウントにログインすることになると思います。)
  • より多くのパスワードマネージャを使用できるようにします。スマートフォンの場合、正確にone適切なオープンソースパスワードマネージャーがありますが、ラップトップの場合はいくつか知っています。

スマートフォンには多少の利点があると思いますが、パスフレーズを生成するためのソリューションを見つける必要があります。理想的には、カスタムキーボードを使用して、クリップボードを通過する必要がないようにします。

(重要な)考慮事項を逃しましたか?

36
Luc

なぜ両方で機能するパスワードマネージャーが必要ないのですか?パスワードマネージャーをまだ使用していない技術者以外の友達は、要件によって制限が多すぎます。妄想モードで実行しているようです。友達は便利なものを求めています。

Lastpassに移動させることができれば、現在のセキュリティが大幅に改善されます。

  • 今は無料で電話とラップトップで共有できます。
  • これには2FAがあり、これはおそらくすでに多くの人にとって非常に複雑で、非常に不便ですが、このオプションはあります。正しく設定されていれば、未知のコンピュータからのログインを防ぎます。
  • Lastpassには独自の2FAアプリがあり、さらに簡単になっています。
  • 誰かが別の場所からログインした場合、それについてメールが届きます。
  • ログインを特定の国に限定することができます。

注意:これをラストパスに限定するつもりはありません。 1Passwordのような他のパスワードマネージャには、おそらく同じボーナスがあります。使っていないのでわかりません。 Keepassはオフラインオプションですが、DropboxまたはGoogleドライブでデータベースを共有すると、一種のオンラインになりますが、さらに使いにくくなります。

いくつかの質問:

  • Lastpassまたは同様のソリューションに対するあなたの反対は何ですか? あなたがそれを使わなければならないとは言いません。何も使用せずに何かを使用するためにセキュリティを強化する必要がある友人のためです。私の考えでは、Lastpassは何もないよりはるかに安全です。
  • なぜあなたが検討しているパスワードマネージャについて言及しないのですか?それはこの議論をより意味のあるものにするでしょう!
  • ノートパソコンと電話のどちらを選択するのですか?ラップトップで使用している電話ではパスワードを使用できませんか?友達がFacebookにログオンした場合、電話とラップトップの両方でそれらを必要とします。
  • 非技術者は信じられないほどの速度でタイプできます!あなたの質問のさらに下では、通常の単語で構成されるパスワードについて話します。ほとんどの人は通常の単語を通常の速度で入力できます。

あなたの解決策は、不便さが醜い頭を回す最初の機会に捨てられることが判明するでしょう。賢明で妥協を選択してください!

41
SPRBRN

開示:私は1PasswordのメーカーであるAgileBitsで働いています。

モバイル上のパスフレーズジェネレーター

1つのスマートフォンパスワードマネージャーではパスフレーズを生成できない

1PasswordはiOSでは機能しますが、Androidの1Passwordでは機能しません。

単語は、3文字から8文字の長さの約18400の英語の単語のリストからランダムに均一に選択されます。

私が少し自慢するかもしれないなら、私の名声への私の足りない主張は、 Diceware -likeジェネレーターへの関心を復活させることにあります (6年前のブログ投稿 刺激を受けた あるXKCDコミック 。今日1Passwordで使用している特定のスキームは2015年のPasswordsConで発表された。

クリップボードを避ける

...クリップボードを通過する必要はありません。

Androidでは、1Passwordはカスタムのクリップボードを提供しますが、あなたが望むすべてを行うとは思いません。 iOSでは、私たち(および他のパスワードマネージャー)はアプリケーション拡張機能を使用して、これらの拡張機能の使用を可能にするアプリとの統合を可能にします。しかし、これらはいずれも完全なソリューションではありません。

これは難しい問題であり、すべてのパスワード管理者が直面し、さまざまな方法で対処します。ラップトップでは、ほとんどのパスワードマネージャはブラウザ拡張機能を使用しており、実際のパスワードデータを使用して何らかの方法で通信します。 (「どういうわけか」はパスワードマネージャー間で異なり、それぞれのアプローチに利点と欠点があります。)

モバイルでは、アプリケーションのサンドボックス化(セキュリティにとって良いこと)がこれを難しくしています。私たちが注意深く行ってきたことの1つは、何が起こっているかをユーザーに明確にしない限り、クリップボードを使用しないことです。つまり、クリップボードを黙って使用することはありません。

繰り返しになりますが、誰も完璧な解決策を持っているわけではありません。同じ種類の難しい問題に対しては、少しずつ異なる方法で取り組みます。

プラットフォーム

この質問は、プラットフォームでパスワードマネージャーを使用する場合のセキュリティを含む、モバイルとラップトップの利点と欠点を評価するのに非常に役立ちますが、残りの詳細では、モバイルではAndroidのみを検討していると想定しているようです。それは私には奇妙に思えます。 Googleは、人々がマルウェアを回避するのを支援し、人々がシステムを更新するのを支援することにおいて大きな進歩を遂げてきましたが、Appleは、これらの点で依然としてかなり優れています。

クラウドが嫌いなのは当然ですが、人々は自分が使用するすべてのシステムでパスワードデータを利用できるようにしたいと思うでしょう。これらのシステムの1つだけにパスワードマネージャーを配置すると、人々は現在と同じ立場に置かれることになります。彼らは彼らが働く彼らのために彼らのパスワードマネージャーが彼らのために働くかぎり、比較的弱いパスワードを再利用し続けるでしょう。

そして、これは...

使いやすさ

あなたは「技術者以外の友人や家族」のためのパスワードマネージャーを探しています。使いやすさは、単なるきれいなUIではありません。それは、人々が穀物に対抗するのではなく、穀物がどのように機能するかということで機能するものを設計することです。これは「使いやすさとセキュリティ」の問題ではなく、人々が安全ではなく安全に動作できるようにすることについてです。

設定したシステムを実際に使用してもらいたい場合は、これらすべてを考慮する必要があります。

見えない機能

パスワードマネージャーも同じ問題に直面し、多くの場合、同様のソリューションを考え出します。しかし、内部的にはまだかなりの違いがあります。 「メタデータ」と見なされるものは1つです。サービスがユーザーの行動について何を知ることができるかは別です。サーバーが侵害された場合に提供される防御策。データの改ざんなどに対する防御策は何ですか?この種のことは通常、ユーザー(またはパスワードマネージャーを確認する多くの人)には見えません。

こういうことを見てほしい。 1Passwordセキュリティホワイトペーパー にはまだセクションがありません(徐々に記入していきます)が、どちらも詳細に進み、さまざまな設計要素の利点と欠点の両方について説明しています。

7

はい、エアギャップラップトップの明確な推奨がありませんORインターネットトラフィックがオフのスマートフォンは、パスワード管理やその他の機密タスクのためだけにオフになっています。これは、通常保証されるよりも少し偏執的ですが、一部の人々にパスワードマネージャを使用するよう説得するのに十分なほどゴールポストを移動している。

あなたがそれにいる間、あなたは間違いなく家族/友人に彼女/彼のラップトップ/電話でトロイの木馬をチェックするように思い出させることができます。結局のところ、キーロガーの上にパスワードマネージャーをインストールしても意味がありません。

2
non-Sequitur

USBスティックにパスワードマネージャーを配置することをお勧めします。これは、プラグインされていない限り、潜在的な攻撃からの隔離を提供し、NICを無効にした状態でエアギャップラップトップを持ち歩くことの愚かさを必要としないためです。 。

2
DeepS1X

他の人が示唆しているように、複数のデバイスで実行できる優れたプログラムがあります。 Norton Identity Safe を強くお勧めします。それは無料で使いやすいです。これには、Webインターフェイス、Windowsアプリケーション、およびIOSおよびAndroid用のアプリがあります。サイトには Password Generator がありますが、アプリにはありません。

0