ブラウザに自分のパスワードを記憶して同期させることを許可する必要がありますか?
ChromeおよびFirefoxにa)パスワードを記憶させるb)それらを同期させることはどの程度賢明ですか?私の直感は、それらを傍受できるのは真ん中の人ではないが、GoogleとMozilla自体がサーバー上で、またはブラウザの助けを借りてそれらを見ることができると私に言います。もちろん、パスワードは暗号化されずに保存されると言っていますが、確かにそれを知ることができますか?おそらく、ブラウザ自体が密かにGoogleとMozillaにパスワードを送信しています。
私は最近keepassを使い始めたばかりなので、以前はブラウザにのみ保存して同期していたので、少なくともパスワードをローカルに保存する場所があります。そして今、私はそれらをもう同期させるべきではないと思います。
@ d1str0が言ったことをさらに詳しく説明します。ブラウザの作成者がパスワードを盗もうとする場合、入力するたびに製造元が管理するサーバーにパスワードを送信するのは簡単です。同期手順、またはパスワードを記憶することについての提案について。デフォルトでは、すべてのブラウザが特定のレベルの使用状況データを送信します。通常、クラッシュレポートと更新チェックにより、パスワードとユーザー名のデータを簡単に隠すことができます。
ただし、ブラウザがこれを実行していることが判明した場合、その製造元に対する抗議があります。Microsoftに向けられたWindows 10のリリース後の報告を有効にして、Microsoftに向けられた怒りを見てください。
Keepass と Password Safe はどちらもオープンソースです(したがって、十分なプログラミング知識と信頼できるコンパイラがあれば、彼らが言うとおりに動作していることを確認できます。他には何もありません-十分なプログラミング知識があっても非常に高いレベルかもしれません)。どちらの場合も、安全なパスワードが提供されていない限り、暗号化されたパスワードファイルは、サードパーティのソースであっても安全に同期できます。適切なキー(安全なパスワード)なしでAES(Keepass)またはTwoFish(パスワードセーフ)を破ると、私たちの知る限り、総当たりです。
Lastpass と 1Password はどちらも開発者を信頼し、デフォルトでリモートの場所に同期する必要があります。理論的には安全ですが、ストレージに関連する脆弱性を検出する明確な方法はありません。 ChromeまたはFirefoxがパスワードを盗むことを心配している場合、論理的には、これらのアプリに同じ議論が当てはまります。
個人的に、私は前述のクラウドベースのパスワードサービスの1つを使用します-私はリスクとメリットを考慮し、サービスの使いやすさに対して受け入れることのできるセキュリティの量のバランスをとっており、私のユースケースでは、それは許容範囲です。許容できるリスクはかなり異なる可能性があります-たとえば、AESを脆弱であると考える場合、異なる暗号化アルゴリズムを使用する暗号化されたUSBキーでKeepassを安全に保つことは実行可能なオプションですが、ファイルをサードパーティのサービスにアップロードすることは可能ですあなたにとって「危険すぎる」。
それは、オプションを評価して、安全と考えるものに帰着します。ただし、多くのセキュリティ専門家はこの問題を検討しており、ブラウザがパスワードを記憶することを許可するよりも、パスワードセーフタイプのソフトウェアを使用することを推奨しています。これらの問題のいくつかは現在対処されていますが、古い習慣は根強いものです!
ChromeまたはFirefoxがパスワードを盗むことを心配している場合は、そもそもそれらをWebブラウザーとして使用することはないでしょう。
KeepassやLastPassなどのアプリケーションは、マスターパスワードで暗号化されたパスワードを保持できます。
マスターパスワードを使用しない場合、Webブラウザーはいつでもパスワードの暗号化を解除できます。
どのレベルのセキュリティが必要かは、あなた次第です。
パスワードマネージャに関する回答に加えて、不確実性を考慮する必要がある瞬間があります。
KeePassの例を挙げましょう。コードをレビューする人を信頼する(または、自分でレビューする知識を持っていると自分を信頼する)ことに加えて、(提供されたコードと一致する)バイナリのプロバイダーも信頼する必要があります。または、自分で再コンパイルして、コンパイラが正しいことを信頼してください。 OSも信頼されていること。
これは多くの「信頼」であり、リスク分析がそれが「十分」であると宣言する瞬間が必ずあります。この「十分に良い」とは、他のリスクと比較して探す必要があるものです。
オンラインパスワードマネージャーの使用に関して@Matthewと一緒にいます:最も可能性の高いリスク(サイトはハッキングされていますが、パスワードマネージャーのおかげで一意で長いパスワードを持っています)から自分を保護しますが、Google/NSA/[putここであなたの好きな組織]はあなたの後です。それらがあなたの後にある場合、それらは より効率的な方法 を使用してデータにアクセスします。
共有コンピューターを使用していますか?はいの場合、またはハードドライブが暗号化されていない場合は、いいえ、パスワードの保存を許可しません。
ブラウザにパスワードを記憶させないようにします。パスワードマネージャーを使用する方がはるかに簡単です。 Firefox(と私はChromeを想定しています)では、保存されたパスワードを暗号化するマスターパスワードの使用を許可していますが、必須ではありません(パスワードは関係なく暗号化されますが、マスターパスワードがなければ、誰もが保存されたパスワードを使用できなくなることはありません。パスワード)。ほとんどの人はマスターパスワード機能を使用できません。これは、明示的に検索する必要がある何かを有効にすることが原因であると思います。 Firefox 44.0.2を使用して、サイトがパスワードを知っている場合、
パスワードフィールドを右クリックし、[パスワードを入力]> [保存したログインを表示]> [パスワードを表示(プロンプトに同意)]の順にクリックします。
認証は不要で、すべてがプレーンテキストです。
さらに簡単で、ブラウザ間で機能するものは何ですか?
パスワードフィールドを右クリック>要素を検査(名前は異なる場合があります)>タイプを「パスワード」から「テキスト」に変更
繰り返しになりますが、認証は必要ありません。すべてがプレーンテキストです。
平均的なユーザーには私には思えますが、妥当な妥協案があります。Webブラウザーに重要度の低いものを保存し、残りをより安全な方法で保存してください。
私はインターネット上のさまざまなサイトに100のパスワードのようなものを持っています。おそらく80人のうち、誰かが盗んだとしても気にしないでしょう-最悪の場合、私をアルステクニカなどのジャークのように見せることができます。サイトとパスワードに関連付けられているお金(または重要ではない限られたお金)はありません。これは、お金のあるものに使用するパスワードではありません。 Chrome覚えておきます。
私が気にしているもう1つの15〜20は、クレジットカードや銀行のログイン、私の健康保険サイトなどです。オフラインの暗号化されたパスワードマネージャーに保管しています。それはオフラインなので、理論的には失われる可能性があります(私は2つの別個のデバイスでそれを持っていますが、住宅火災などが可能です)。しかし、絶対に必要な場合は、これらのパスワードをすべて(ある程度の困難で)復元することができます。ただし、一般的には、ハッキングから安全ですが、サイトのハッキングからパスワードが回復されない限り、それは当然のことながらパスワードです(これらはユニークで複雑なパスフレーズであり、比較的安全である可能性があります)それらの侵入の多くで)。
最後に、私の電子メールのパスワードは私の頭の中以外には保存されません。それは弱点だからです。ソーシャルエンジニアリング攻撃と私の電子メールへのアクセスを組み合わせることで、他のすべての場所のパスワードを誰かが回復/再作成できるようになる可能性があります。私はそのパスワードを安全に記憶できるほど十分に電子メールを使用します(もちろん、そうでない場合は、回復方法があります)。
妥協案は、Firefox拡張機能 KeeFox を使用してKeePassを使用することです。これにより、実際にFirefox経由で保存することなく、FirefoxでKeePassパスワードボールトのパスワードを自動的に使用できます。
ブラウザーがあなたのパスワードを保存することを許可することを支持する1つの議論は、私がここで他の誰も作るのを見たことがないが、それはフィッシング攻撃からあなたを守ることができるということです。
Chromeは自動的にログイン認証情報を入力しますが、URLが正しい場合にのみそれを行います...サイトが適切に設計されている場合、URLはHTTPSを介して認証局によって検証されます。ログインページに移動して、Chromeで認証情報が自動的に入力されていない場合は、それが問題であり、正しい場所にいることを再確認してください。
それは非常に単純です:ブラウザーのパスワードを信頼することは、たとえそれが善意であっても、その主要な機能ではありませんが、常に問題です。特に、ブラウザにプラグインがインストールされている場合、またはパスワードストア自体が(強力な)マスターパスワードで保護されていない場合。
問題の大きさは?あなたが決める必要があります。私のブラウザには、重要ではないサイトへのパスワードを確実に保存しますが、銀行口座や個人のメールアカウントには保存しません。多くのオンライン銀行が実際にブラウザーにパスワードを保存させることを困難/不可能にしているという事実(プレーン入力フォームを複雑なスキームに置き換えることによって、つまり、様式化されたテンキーをマウスでクリックする必要がある)は、何かを教えてくれるはずです。
KeePassなどの場合、それはまったく同じ考え方ですが、バーが高くなっています。つまり、本当に偏執的である場合は、それらを使用することもありませんが、ブラウザよりも「少しだけ」信頼することができます。いくらですか?.
この方法で保存されたパスワードは非常に安全ではありません。それらにアクセスしてみてください。そうすれば、windows/linuxのユーザーアカウントのパスワードを入力してアクセスできることがわかります。 windows/linuxのユーザーアカウントのパスワードを変更したり、そのチェックを回避したりするためのエクスプロイトがありました。したがって、特に仕事用のコンピュータでは、オンラインバンキングアカウントなどの価値の高いターゲットのパスワードを保存しないでください。
オンラインログインには、Lastpassなどの簡単なツールがあり、ブラウザとの統合が良好です。また、ログインをコピーして貼り付ける必要があるKeepassなどの、より多くの作業が必要なツールがあります。毎日多くのサイトにログインする必要がある場合、それははるかに多くの作業です。
Lastpass(または同様のツール)の信頼性が低い場合でも、それほど重要ではないWebサイトでそれを使用できます。
重要なウェブサイト-アカウントを失うとお金がかかるペイパル、アマゾン、イーベイ、またはGmailやHotmailなどのメールアカウントでは、他のウェブサイトでログインをリセットできるため、アカウントを失うとさらに大きな問題になる可能性があります。
重要性の低いウェブサイト:ゲームフォーラム、Reddit、非アクティブなTwitterアカウント、ディスカッションフォーラムなどにログインします。あなたが本人であることを証明し、アカウントを取り戻すことができる可能性が高いです。大きな損失ではありません。そして、あなたのRedditアカウントがあなたの人生を意味するかどうか、私にとって私は本当に気にしません。だから私はそれをラストパスに保存しますが、多分あなたはそれをより安全に保ちたいでしょう。何をどこに保つかはあなた次第です。
ここには多くの回答があり、いくつかの良い情報があります。彼らの一部が指摘したように、ソフトウェアを使用するときはいつでも、そのソフトウェアにある程度の信頼を投資しています。
ブラウザーに専念し、それらを使用してパスワードを保管しているので、ブラウザーの製造元はあなたの主な関心事ではないと思います。これらは通常、その評判にかなりの投資をしている大規模な組織です。彼らはまた、かなりの精査を受けています(特にchrome and firefox)。
本当の脅威は、悪意のあるサイト/ Webページとブラウザプラグインによるものです。このため、検索する最も重要なプロパティの1つは、ブラウザで保存されたパスワードのマスターパスワードを設定できるかどうか、および保存されたパスワードを使用する前にそのマスターパスワードを入力する必要があるかどうかです。
特にChromeは、保存されているパスワードに関して十分なセキュリティを提供していないと非難されています。状況は改善されたと思いますが、それは主に公の叫びによるものでした。
Keepasのようなものを使用している場合は、パスワードをブラウザーに保存することにも実質的なメリットはありません。私はパスワードマネージャーを使用し、追加の利点を提供していないため、パスワードの保存に使用するすべてのブラウザーの機能を無効にします。
パスワードマネージャーの理由を誤解している人や、間違った側面を強調している人がよくいます。多くの人がそれらを便利な観点から見ています。セキュリティにどのような影響を与えるかを考慮せずに、便利なオプションを有効にします。たとえば、マスターパスワードのキャッシュ、自動オートフィルの許可などです。どのタイプのパスワードマネージャーも便利ですが、実際の利点は複雑なパスワードの数を減らすことです。覚えておく必要があるパスワード非常に複雑で強力なパスワードを1つだけ覚えておく必要があります。必要なのは、システムが「実際の」パスワードを入力する前にマスターパスワードを入力できることです。自動的にパスワードを入力するという利便性を本当に望んでいない-そのレベルの不便さを受け入れて、管理を確実にしてください。