web-dev-qa-db-ja.com

U2Fセキュリティリスクのあるパスワードマネージャー

パスワードマネージャーに関する多くの調査と、このディスカッションから得られた多くの参照の後 LastPassのようなパスワードマネージャーはどのくらい安全ですか? パスワードマネージャーには、非常に恐ろしい障害点があると結論しました。マスターパスワードとU2Fキーを使用してパスワードマネージャーのロックを解除すると、マシンまたはモバイルデバイスが危険にさらされます(yubikeyやnitrokeyのようなものを考えています)。使用していないものも含めて、すべてのパスワードが盗まれる可能性があります(など)クレジットカード情報が保存されたAmazonアカウント)。

ディスカッションやその他の意見を読んでいると、「あなたがすでにマシンのセキュリティを失うと******」と誰もが言う印象を受けましたが、それが本当ではない場合があるので、パスワードについて考えてくださいオンラインストアなどから年に数回しか使用していませんが、私のCC資格情報を使用すると、感染の開始時からパスワードを使用するまでの間に、マルウェア(フォーマット、ウイルス対策)または別のマシンでパスワードを使用する可能性があり、マルウェアがこの情報を取得することはありません。パスワードマネージャを使用すると、保存されているすべてのパスワードを盗むことができます。

したがって、私はパスワードマネージャを使用する最良の方法は次のようにすることだと考えていました。

-銀行口座などの重要なパスワードを保存しない

-パスワードマネージャーを「オープン」にしない(ログインしている)

-クリップボードが安全でない別の場所であり、このディスカッションでtylerlが偽のサイトのリスクを指摘していたとしても、オートコンプリートを使用しないでください 平均的なユーザーは本当にパスワードマネージャーを必要としますか? しかし、いくつかについて読みますトレースなしで他のパスワードにもアクセスできるブラウザ経由の攻撃なので、申し訳ありませんが安全です。

そのため、lastpassやkeepassなどの最も有名なパスワードマネージャーの機能を読んで、必要な単一のパスワードのみを復号化する機会を探していたため、マシンが危険にさらされた場合、このパスワードのみが盗まれる可能性があります。しかし、それは不可能のようです。

別のセキュリティ層を追加することは可能ですか?

別のファイルシステムと読み取り専用モードの暗号化を使用して、外部ドライブを使用してオフラインアーカイブを保存するとどうなりますか?

確かに、私は少し偏執狂的ですが、新しいソフトウェアを実際に使用するときは、最も安全で正しい方法を使用したいと思っています。ですから、私は混乱して心配になっています。パスワードにアクセスするための比較的単純な方法が欲しいのですが、他の人が私のデータを手に入れるのは本当に難しいのです。

私の英語でごめんなさい

4
NeverGetDown

「攻撃者があなたのマシンを所有しているなら、あなたはすでにねじ込まれている」という言い回しのポイントは、あなたの質問に示されていると思います。あなたが要求している単一のパスワードを除いて、パスワードマネージャに何かを解読してほしくありません。しかし、システム上のマルウェアは、その要求を傍受して変更する可能性があります。この理論上のマルウェアは、パスワードマネージャーにすべての復号化されたデータを提供するように指示する一方で、復号化されたパスワードは1つだけであるかのような印象を与えます。

いったんあなたのマシンが所有されたら、あなたはそれが信頼されて、危険にさらされるかもしれないどんな機能も実行するべきではありません。実際には、このタイプのマルウェアは、その複雑さを考えると作成するのがより難しくなるはずですが、パラノイアのレベルを考えると、その障害に依存したくない場合があります。

あなたが好むかもしれないのはあなたのパスワードを管理するためにあなたのコンピュータやモバイルデバイスとは別のデバイスです。信頼できるデバイスに対して認証するパスワードが必要な場合は、その特定のパスワードを読み取り、侵害された可能性のあるデバイスに入力します。パスワードストアは本質的にエアギャップがあり、そのデバイスが危険にさらされるのを防ぐためにより多くの努力を集中できます。それは、単純であるという他の基準を満たさない場合があります。

5
PwdRsch

あなたが言及しているのは、一般的なパスワードマネージャーの賛否両論の議論における「欠点」です。

パスワードマネージャーは単一障害点を提示します。マネージャーが危険にさらされると、その中のすべての資格情報も危険にさらされます。

これはリスクですが、パスワードマネージャーは他の多くのリスク、特にパスワードの再利用、および強制を軽減するという事実を考慮して検討する必要があります強力な一意パスワードの使用。

誰かが同じまたは類似したパスワードを多くのサイトで使用している場合、それらのサイトの1つが危険にさらされていると、それらの資格情報が他のサイトで再試行される可能性があります。パスワードマネージャーは、この脆弱性を軽減するのに役立ちます。また、認証情報を取得するために、多数のユーザーがいるサイトではなく、個々のパスワードマネージャーを侵害する必要があるように、表面積を減らします。

個別のトークンを使用した2要素認証(スマートフォン、Google認証システム、個別のYubiKeyなど)を使用して高価値のアカウントを保護することにより、単一障害点のリスクを軽減できます。したがって、パスワードマネージャーは、ログインに必要な資格情報の半分にしかアクセスできません。

各アプローチの長所と短所を個人的に比較検討し、どのような緩和戦略(2FAなど)を導入したいかを確認する必要があります。ただし、ほとんどのユーザーにとって、パスワードマネージャーは攻撃ベクトルを軽減し、攻撃対象領域を減らすことでセキュリティを大幅に向上させます。さらに、潜在的な単一障害点を作成することによってリスクを増大させます。

2
Herringbone Cat

独自のロジックに従う場合、安全を確保する最善の方法は、コンピュータをまったく使用しないことです。あなたがすることはすべてリスクです。仕事はリスクを管理してそれを許容できるものにすることであり、完全に削除しようとするのではありません。その方法は狂気です-文字通り。

パスワードマネージャーの目的は、パスワードを管理することです。もちろん、これを単一のアプリケーションに集中させることにはリスクが伴います。理論的には一度に1つのエントリのみを復号化することは可能ですが、それぞれに異なるパスワードが必要になることを意味しますか?!

真実は、パスワードマネージャーは、独自のインターフェイスを使用する場合を除いて、ロック解除されたデータへのアクセスを防止するためにできることは何でも行いますが、問題を完全に排除するものはありません。

実際には、LastPassには信頼できないコンピューターでそれを使用するためのOTPプロセスがあるので、いつでも好きなときに使用できます。

あなたが本当に偏執的である場合でも、あなたができるいくつかの方法があり、より実際的にセキュリティを改善します。

最初に、できるだけ早くパスワードマネージャをロック/ログアウトしてください。つまり、毎回ログインし直す必要がありますが、少なくともdbはほとんどの場合暗号化されたままです。

あるいは、スティーブ・ギブソンが提唱したような紙のパスワード方式に移行してください。 完璧な紙のパスワード

それ以外の場合は、一歩下がって実際のリスクについて考えることをお勧めします。あなたはリスクの高い環境にいますか?特に機密情報や貴重な情報を扱っていますか?もしそうなら、あなたはパスワード管理があなたが取るべき多くの1つにすぎないけれども、あなたは特別な予防措置を取るのが正しいかもしれません。

そのような状況でない場合は、PCを安全に使用し、パスワードマネージャーを使用してください。パスワードマネージャーを使用することは、パスワードマネージャーを侵害するよりもはるかに可能性が高いためです。

1
Julian Knight

いくつかのオプションがあります。あなたが言うように、通常、LastPassおよび類似のパスワードマネージャーは、Chromeのようなブラウザーでのブラウザー同期と一緒に、自分を識別した後、しばらくの間コンピューターを信頼します。で、彼らはそれにアクセスできます。

LastPassには ' always ask me '設定があります-他のマネージャーもそうしているのではないかと思います。

さらに、ラップトップ自体を保護するための対策を講じることができます。自動ロックポリシーを設定すると、それをそのままにしておくと、短時間でロックされます。ラップトップのディスクが暗号化されていることを確認します-MacOSを使用している場合は、File Vaultを有効にします。 OSにログインするための強力なパスワードを持っている。実行中のパスワードマネージャーにアクセスできない場合、パスワードマネージャーを危険にさらすことはできません。

また、パスワードマネージャーに含めたくない本当に重要なサイトは、パスワードマネージャーで可能なパスワードの長さの増加により、おそらくパスワードマネージャーよりも危険が少なくなると主張します。

もちろん、これはすべて、パスワードマネージャーのパスワードが優れていることを前提としています。一般的ではない単語を含む長いフレーズをお勧めします。そのフレーズに数個の数字または特殊文字を追加することはボーナスです。

0
crovers