2要素認証によるパスワード管理

ダシュレーン

Dashlaneには、ユーザーデータのセキュリティを強化するために2FAを使用するオプションがあります。

ユーザーはいつでも自分のDashlaneアカウントを自分の携帯電話の2FAアプリケーションにリンクできます。 Dashlaneは、新しいデバイスに接続しようとすると、ワンタイムパスワードを電子メールで送信する代わりに、2FAアプリケーションによって生成されたワンタイムパスワードを提供するようにユーザーに要求します。

From https://www.dashlane.com/download/Dashlane_SecurityWhitePaper_Nov2017.pdf

Dashlaneは、アカウントへのアクセスを新しいデバイスに許可するときに2FAを使用するだけでなく、アカウントにログインするたびに使用することもできます。

これにより、ユーザーのコンピューター上のマルウェアがマスターパスワードをキーログに記録し、機密データにアクセスしようとするのを防ぎます。これは、ユーザーデータにアクセスするためにワンタイムパスワードを指定する必要があるためです。キーロガーが入力時にこのワンタイムパスワードをキャプチャした場合、新しいパスワードを使用する必要があるため、攻撃者にとって役に立たなくなります。次回。

1パスワード

1Passwordは2FAを使用しないという点で、1PasswordはDashlaneと少し異なります。 Secret Key と呼ばれるものを使用します。この秘密鍵は34の文字と数字で、

非シークレットバージョン設定（「A3」）、非シークレットアカウントID、およびランダムに選択された26文字のシーケンス。

From https://1password.com/files/1Password%20for%20Teams%20White%20Paper.pdf

128ビットのエントロピーがあり、マスターパスワードと連携してデータを保護します。

秘密鍵の例はA3-ASWWYB-798JRY-LJVD4- 23DC2-86TVM-H43EBです。秘密鍵は1Passwordアカウントが最初に作成されたときに生成され、リモートに保存されたユーザーデータを取得した攻撃者がこのデータにアクセスするために必要なマスターパスワードを推測するのを防ぎます。

秘密鍵は、新しいクライアントをデバイスに登録するたび、およびサーバーに対して認証する必要があるときに使用されます。これは 1Passwordのホワイトペーパー で再び見ることができます：

新しいデバイスを登録するとき、ユーザーはクライアントに追加デバイスのリンク（QRコードの形式の場合もある）と彼女のマスターパスワードを提供します。 add-deviceリンクは、既に登録されているクライアントからのユーザーのリクエストで生成され、チームのドメイン名、ユーザーのメールアドレス、および彼女の秘密鍵が含まれます

一般的な

1Passwordの問題は、例えばキーロガーから秘密鍵とマスターパスワードがわかっている場合、ユーザーデータが表示される可能性があることです。これは、Dashlaneとは異なり、ワンタイムパスワードを使用してデータを保護できるため、キーロギングが無効になります。

ただし、Dashlaneはすべての種類のマルウェアに対して安全ではありません。 1Passwordと同様に、Dashlaneアプリケーションで表示されているパスワードのスクリーンショットを撮るマルウェアの影響を受ける可能性があります。

パスワードマネージャーを使用する場合、パスワードは頭以外の場所に保存されるため、パスワードが発見される可能性があることを受け入れる必要があります。