銀行のパスワードにパスワードマネージャーを使用するユーザーを考えてみます。銀行からのアドバイスは通常、パスワードを書き留めてはならないというものです。ユーザーは、銀行がアカウントで発生する可能性のある詐欺に対する責任を拒否することを意味する可能性があるため、そのアドバイスに反対することを懸念します。
では、パスワードマネージャーを使用できますか?暗号化されたパスワードを保存することは、それを書き留めるのと同じですか?
これは法的および政策上の問題です。パスワードマネージャーを使用することの技術的なリスクと利点についてはすでに知っています。回答は国によって異なります(銀行によって異なります)。私は英国にいますが、世界中のどこからの回答にも興味があります。
私はドイツの弁護士です。ここでは、顧客と銀行の間の特別な条件が契約の一部です。したがって、これらはパスワードマネージャーの使用を禁止するこれらの特別な条件の条項について話しているのです。
私は私の銀行のサイトに行って、条件を描きました、そして実際には、顧客は自分のPCにパスワードを保存することが許可されていません。
したがって、この条項は私のpwをPCに保存することを禁じています。問題は、本当にパスワードをパスワードマネージャー内に保存するのか、それとも23%%4l5ksa0ß90ßv9w6&!
?そしてこれは法的条項ですか?
ご質問ありがとうございます!
編集:問題を解決するには? -As pai28 が尋ねます。それらの条件を書いた人々が、私たちユーザーが過去数年間に行った進歩に気付いているかどうかさえ、私にはわかりません。私たちはpw-managersを使用しています。
したがって、条項を変更する必要があります。顧客は、暗号化されていないパスワードをITデバイスに保存することはできません。またはこのようなもの。
銀行の組合に手紙を書いて尋ねます。私が真剣な答えを受け取った場合(非難ではなく、親愛なるお客様、私たちは非常に感謝していますが、非常に複雑です...)、私は結果について報告します。
2019年6月に銀行から新しい利用規約を受け取りました。条項の1つに、銀行の顧客(= me)は認証シークレットunsecured私のコンピュータで。したがって、パスワード、トランザクション番号など、パスワードマネージャーや暗号化を使用して保存しても問題ありません。
銀行(ドイツの"Volksbank")は、暗号化の顧客側に注意を払っています。彼らはgpgで暗号化された電子メールさえ提供してくれました。それは地元の銀行であり、私はそれらをインターネットベースの銀行と交換しません。
私は素人ではありませんが、適切に構築されたパスワードマネージャーは、最新の銀行システムとほぼ同じくらい安全にパスワードを保存します。
パスワードマネージャーの使用の合法性について話すことはできませんが、哲学的なレベルでは、個人的に提供されたパスワードがIDとして受け入れられる場合、(適切に作成された)パスワードマネージャーパスワードは受け入れられます。
(編集:適切に作成されたパスワードマネージャにパスワードを追加することは、単にそれらを書き留めることと同じではありません。)
私はこれについて聞いたことがなく、確かに言うことはできませんが、元の前提には欠陥があると思います:銀行が、あなたがあなたの口座を保管する場合、詐欺に対してあなたの口座に保険をかけないというポリシーを持っているとは思わないでしょう。自分の頭の外のどこかにパスワードを入力します。このルールを適用するには、パスワードを覚えやすく、推測しやすいものにする必要があります。最も安全なパスワードは、長いランダムな文字列であり、ほとんどの人間は書き留めるか、どこかに保存する必要があります。銀行は、他の人が見ることができる紙にパスワードを書き留めないように「忠告」するかもしれませんが、どこにも記録しないように要求すると、セキュリティが低下し、強化されません。もちろん、確実に知るためには、特定の銀行の条件を読む必要があります。
さらに、いつでも嘘をついてどこにも保管しなかったと言うことができるので、銀行がこのようなルールを持っていることは無意味だと思われます。これは、ほとんど強制できない規則です。
編集:私が思っていることにもかかわらず、これはあなたが参照しているルールを持っている銀行ですが、少し曖昧ですが http://www.amp.com.au/accountacessandoperatingconditions (7ページを参照) 。つまり、「メモリーエイド」は許可されていますが、「リーズナブルな」対策を講じて、セキュリティが侵害されないようにする必要があります。私は、暗号化されたパスワードマネージャーが十分以上であることを意味すると解釈します。
本当にこのアドバイスの要点は、「どこにもパスワードを置かないでください」という説明に沿ったものです。特に明記しない限り、これはパスワードが盗まれた場合に備えて銀行の評価をカバーすることを目的とした法的声明です。
パスワードマネージャーという意味では、本にパスワードを書いて金庫に保管するだけです。
誰かがあなたの金庫の鍵を見つけ、それを開いて、本であなたのパスワードを見つけ、それを使って銀行口座を空にした場合、その時点で銀行は責任を負うことができませんでした。 。
同じ意味で、パスワードマネージャーは安全です。誰かがパスワードマネージャーのセキュリティを侵害した場合でも、そのパスワードマネージャーが取得できる情報は、情報をそこに置いた人の責任です。
tl; dr:noと言わなければなりません。法的な意味では、どのような迷惑な保護を使用しているかは関係ありません。パスワードは次のように書き留めています。取得できます。
適切なパスワードマネージャにパスワードを保存する方が、ポリシーに準拠しているほとんどの人が使用している方法よりも安全です。
パスワードマネージャーの方が安全であるため、一般的なパスワードマネージャーがポリシーの言葉に違反している可能性がありますが、ポリシーの精神には違反していない可能性があります。実際のケースでそれが意味することは、セキュリティの専門家ではなく弁護士への質問です。
暗号化されたバージョンのパスワードを保存することは、パスワードマネージャーを実装する最も明白な方法ですが、それが唯一の方法ではありません。パスワードマネージャは、必ずしもパスワードを保存する必要はありません。
パスワードマネージャは、次の入力に基づいてパスワードを生成できます。
上記のすべてをシードとしてPRNGにフィードし、それを使用して、ポリシーで許可されているすべてのパスワードの中でランダムにランダムなパスワードを生成する場合、パスワードは同様に安全でなければなりません。保存する必要がある情報は、パスワードが作成されたときと、秘密ではない情報だけです。
このようなアプローチの本当の目的は、バックアップがないためにパスワードが失われるのを防ぐことです。しかし、副作用として、パスワードの保存を許可しないポリシーを回避します。
技術的ですが、ウェブサイトにパスワードを入力すると、ブラウザはパスワードマネージャとして「機能」します。したがって、パスワードを決して書き留めないで、パスワードマネージャーを含めるように要求された場合、ブラウザーに入力することは規約違反となります。現在、彼らはあなたがアクセスの主要な手段である「ウェブサイト」を使用する必要があるので、彼らはあなたに利用規約を破るように強いています。
その時点で、パスワードマネージャを使用するように強制されているかどうかが本当に問題になります。利用規約に違反していると彼らは言うことができますか?
また、何かが利用規約にあるからといって、それが妥当でない場合に支持されることを意味するわけではありません ここを参照 および ここ
多くの場合、それはアドバイスではありません。銀行は、ユーザーがパスワードを書き留めたり、パスワードを漏らしたり、クレジットや支払いの保護を失ったりしないことを契約条件に入れています。したがって、銀行がパスワードマネージャーを助けにならない言い訳として使用する可能性があるため、パスワードマネージャーの使用を認めることは悪い考えです。
人々はまだパスワードマネージャを使用できますか?確かに、最悪の事態が発生した場合に言及しないことを覚えている限り。実は、ほとんどの人は銀行が1つしかないため、パスワードが1つしかありません。そのためにパスワードマネージャーが必要なのはなぜですか。
銀行は、パスワードを書き留めないことをお勧めします。パスワードを書き留めて読むことができたノートブック/紙/ノートを手に入れることができるすべての人がパスワードにアクセスできるようになるからです。類推すると、パスワードマネージャーを使用すると、パスワードマネージャーを備えたマシンを使用でき、それを使用する方法を知っているすべての人がパスワードにアクセスできるようになります(これは、私が読書としてアクセス可能なスキルと呼びます)。
パスワードマネージャーを使用する必要がありますか。まあ、それは主にあなたのコンピュータへのアクセスとシステムの全体的なセキュリティを規制するあなたの個人的な文化に来る。見知らぬ人に自分のマシンを使用させない場合は、パスワードマネージャーのユーザーアカウントパスワードとマスターパスワードを用意してください。パスワードマネージャーを利用しても問題はありません。それは何らかの方法でパスワードを記憶するのは安全ではありませんが、パスワードマネージャーのほとんどの銀行(または少なくとも私がたまたま使用した銀行)を利用している誰かが原因でアカウントへの不正アクセスが発生した場合に備えて、全体を単に入れませんあなたのせいにして、特にパスワードに簡単にアクセスできず、最小限の予防策を講じていることを証明できる場合は、被害を回復するのに役立ちます。
私の経験では、米国では、銀行はパスワードの盗難による詐欺についてほとんどまたはまったく責任を負いません。通常、利用規約では、資格情報を使用してアカウントにアクセスするすべての人に責任があります。それは彼らがあなたにそれらを書き留めないように勧める理由です。彼らはmay状況に応じてあなたを支援しますが、私は彼らがそうする義務がないことをかなり確信しています。
そうは言っても、私は常にパスワードストレージツール(1Password)を使用しており、800以上のパスワードを安全に保つために提供するセキュリティのレベルにかなり満足しています。 (明らかに、これらはすべて銀行のパスワードではありません... ;-)また、Dropboxまたは類似のクラウド共有サービスと簡単/迅速に同期するために、各エントリを独自のファイルに保持します。
銀行が通常提供することを保証する唯一の保護は、クレジットカード詐欺(またはもちろん、銀行の強盗のように、完全な盗難)です。