web-dev-qa-db-ja.com

パスワードマネージャーは、Webサイトごとに少し異なるパスワードよりも安全ですか?

たとえば、4ワードとアクセスしているWebサイトの名前で構成される5ワードのパスワードを使用するとします。たとえば、GitHubの場合、「 正しいバッテリーホースステープル github」のようになります。

マスターパスワードとして「正しいバッテリーホースの主要なgithub」を使用してパスワードマネージャーを使用するのとどう違うのですか?

また、気にしていないアカウントや、脆弱性があると思われるアカウントのパスワードが簡単になっています。主要企業(Google、Facebook、GitHub、Apple)を除くすべての人がパスワードをプレーンテキストで保存していると思います。

このアプローチを使用すると危険にさらされますか?

40
Nacho

はい、まともなパスワードマネージャーは、パスワードパターンを使用するよりも安全です。

  • あなたにはパスワードマネージャーがあり、ランダムなパスワードを作成しています:

    1. _6AKQ3)mcV!xX3b8-ZgncCe%tdn!&.@3X_
    2. _a6/4TFaWKrzTHQyT2Df#;/*+QA$zH2tJ_
    3. _9y__&%7jP4UcuG(9f7X6z44C#64bF:m&_
    4. _9W649r788_8AU=9272zuGH"=C?2&C66j_
    5. nT29HMc$y'H)ww2#D/2x(2sBU#WG23us
  • 対してあなたはあなたのパスワードのパターンを持っています:

    1. correctbatteryhorsestaplegithub
    2. correctbatteryhorsestaplestackexchange
    3. correctbatteryhorsestaplegooogle
    4. correctbatteryhorsestaplesomesite
    5. correctbatteryhorsestapleapple

サイト#4には、パスワードをプレーンテキストで保存するという悪い習慣があり、パスワードデータベースがリークします。今、後者から、これが使用するパスワードパターンであると想定して、GitHubなどのパスワードとしてcorrectbatteryhorsestaplegithubを持っていると推測できますが、ランダムパスワードから、他のランダムパスワードを推測することはできません。それらは完全に無関係です。

一方、コンピュータが感染し、誰かがパスワードマネージャデータベースとパスワードの両方を盗んだ場合(たとえば、キーロガーを使用)、それらは王国への鍵を持っています。これは完全に異なるリスクモデルであり、パスワードマネージャーがインストールされているオペレーティングシステムにアクセスする必要があります。これに対して、多要素認証のような他の手段が必要です。

89
Esa Jokinen

Microsoftは、あなたが気にしないサイトの弱いパスワードを持っているとあなたが言及したアイデアについていくつかの興味深い研究を行い、それが有効な戦略であると結論づけました。

ただし、パスワードマネージャーの利点の1つは、気にしていないサイトを探すのに精神的な労力を費やす必要がないことであり、さらに重要なことには、誤って分類できないことです。パスワードマネージャーを使用している場合、「パスワード」に貼り付けるクリック数は、「District solid complete warlord cheese」と同じです。

(ちなみに、パスワードマネージャーでパスワードを生成するときは、30個のランダムな文字よりも5個のランダムな単語を使用する方がよいことがわかりました。遅かれ早かれ、あなたはwillパスワードマネージャーエージェントがインストールされていないコンピューターに入力します。)

10
Graham Hill

パスワードマネージャーでランダムな方法ではなく、定型的なパスワード生成方法を使用すると、脅威モデルが変わります。

パスワードマネージャーの主な脅威は、マスターパスワードが発見されることです。限られた数の信頼できるデバイスで作業しているほとんどの人にとって、これは低い可能性です。ただし、信頼できない可能性のあるさまざまなデバイスからさまざまなサービスに定期的にログインする必要がある場合(たとえば、旅行してインターネットカフェを使用するか、フィールドエンジニアとして)、脅威モデルは大幅に変わる可能性があります。

公式のパスワード生成メカニズムでは、公式が公開されるという脅威があります。自明ではない式の場合、人間による介入や複数のプレーンテキストパスワードの利用が必要になる可能性があります。パスワードcanがクラックされるため、本質的に脆弱ですが、より標的を絞った攻撃である可能性のある別のタイプの脅威に対して脆弱です。

4
David258