アカウント名:
パスワード:
複数のパスワード管理ツールにて現状、脆弱性により「パスワードを盗み出す攻撃が可能」脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」
ということはパスワード管理ツールを使わないほうが安全ってこと?
あえてその方向性に乗るなら「パスワード管理ツールは、ホントはOSの外に切り出すべきだよね」ですかね。私のおすすめはパスワード管理ツールによる人間の頭では暗記不能なほど強固なパスワードと、FIDO U2Fトークンなどの多要素認証の組み合わせですね。
パスワード管理ツールを使わずに、記号とかで複雑にしたつもりだけどやっぱり暗記できるくらい簡単なパスワードでがんばる、というのはもう無理です。
無関係な事項を書き連ねる際に「ということは」で繋ぐのは適切ではありません。
「パスワード管理ツールにて」でくくられてないの?
現状の脆弱性によるリスク < 解決によって生じるリスク、は記事から言える。現状の脆弱性があるパスワードマネージャを使うリスクと、使わないでパスワードを管理するリスクの比較が、どこにも書いてない。つまり「ということは」は論理的に導き出せない。
個人的には #3571406 の人も言ってるようにメモリスキャンが出来るという前提条件がそもそも難しい条件っていうか詰んでるので、そら現実的な驚異は限られているだろとしか思えない
昔から、「卵は一つのカゴに盛るな」って言いますが、「パスワード管理ツール」 って、まさに一つのカゴですから昔から使う気になれませんでしたがやっぱりねぇ
複数のパスワード管理ツールを使えばいいのでは?
あのパスワードはどのパスワード管理ツールに保管していたっけ? ってなりそう
自分は、銀行系とそれ以外で分けてる。
あのパスワードがどこにあるか管理するメインのパスワード管理ツールAと偶数桁の暗号化済みパスワードを管理するパスワード管理ツールBと奇数桁の暗号化済みパスワードを管理するパスワード管理ツールCとパスワードの暗号を解除するパスワード管理ツールDと
...etc
元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな
今はそうだろうね……
生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。
変更の効かない生体認証がパスワードに代わることはありえない。現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。
# ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。# シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。
成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。 しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
こいつド素人だなw
生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない、って昔はよく言われてたことなんだけど今は違うんかな?
マイクロソフトのHololens 2は虹彩認証でログインできるみたいだが。
>生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない
時々利用しているデータセンターでは本人確認はパスポートか運転免許証提示し確認されたらIDカードを渡される。パスワード的なのは毎回入場時に指先静脈認証を登録。でやってますね。
建屋間の移動はゲート毎に本人確認時に渡されるIDカードが必要。建屋内部フロア別にあるサーバールームにはいるときに指先静脈認証が必要。
ご飯食べに一旦外に出ると、登録やり直しでめんどくさい。
漏れた特徴データから指紋や網膜を再構成するのは難しいのではないだろうか。とはいっても本人から盗まれたら困っとことになるのは間違いない。
スキャンで一網打尽国防やらスパイやら民間大手組織ウハウハ
よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。
そこまでするんだったらメモ帳なんて使わずに「いつも同じフレーズを追加する」でもいいんじゃないの?記録という点を気にするなら、メモを金庫に入れておけばいい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
パスワード管理ツール (スコア:0)
複数のパスワード管理ツールにて
現状、脆弱性により「パスワードを盗み出す攻撃が可能」
脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」
ということは
パスワード管理ツールを使わないほうが安全ってこと?
Re:パスワード管理ツール (スコア:2)
あえてその方向性に乗るなら「パスワード管理ツールは、ホントはOSの外に切り出すべきだよね」ですかね。私のおすすめはパスワード管理ツールによる人間の頭では暗記不能なほど強固なパスワードと、FIDO U2Fトークンなどの多要素認証の組み合わせですね。
パスワード管理ツールを使わずに、記号とかで複雑にしたつもりだけどやっぱり暗記できるくらい簡単なパスワードでがんばる、というのはもう無理です。
Re:パスワード管理ツール (スコア:1)
無関係な事項を書き連ねる際に「ということは」で繋ぐのは適切ではありません。
Re: (スコア:0)
「パスワード管理ツールにて」でくくられてないの?
Re:パスワード管理ツール (スコア:1)
現状の脆弱性によるリスク < 解決によって生じるリスク、は記事から言える。
現状の脆弱性があるパスワードマネージャを使うリスクと、使わないでパスワードを管理するリスクの比較が、どこにも書いてない。
つまり「ということは」は論理的に導き出せない。
個人的には #3571406 の人も言ってるようにメモリスキャンが出来るという前提条件がそもそも難しい条件っていうか詰んでるので、そら現実的な驚異は限られているだろとしか思えない
Re: (スコア:0)
昔から、「卵は一つのカゴに盛るな」って言いますが、
「パスワード管理ツール」 って、まさに一つのカゴですから
昔から使う気になれませんでしたが
やっぱりねぇ
Re:パスワード管理ツール (スコア:2)
Re: (スコア:0)
複数のパスワード管理ツールを使えばいいのでは?
Re: (スコア:0)
あのパスワードはどのパスワード管理ツールに保管していたっけ? ってなりそう
Re:パスワード管理ツール (スコア:2)
自分は、銀行系とそれ以外で分けてる。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
あのパスワードがどこにあるか管理するメインのパスワード管理ツールAと
偶数桁の暗号化済みパスワードを管理するパスワード管理ツールBと
奇数桁の暗号化済みパスワードを管理するパスワード管理ツールCと
パスワードの暗号を解除するパスワード管理ツールDと
...etc
Re: (スコア:0)
元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな
Re: (スコア:0)
今はそうだろうね……
生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。
Re: (スコア:0)
変更の効かない生体認証がパスワードに代わることはありえない。
現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、
それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。
しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
Re:パスワード管理ツール (スコア:2)
替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。
# ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。
# シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。
成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。
Re: (スコア:0)
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。 しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
こいつド素人だなw
Re: (スコア:0)
生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない、
って昔はよく言われてたことなんだけど今は違うんかな?
マイクロソフトのHololens 2は虹彩認証でログインできるみたいだが。
Re:パスワード管理ツール (スコア:1)
>生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない
時々利用しているデータセンターでは
本人確認はパスポートか運転免許証提示し確認されたらIDカードを渡される。
パスワード的なのは毎回入場時に指先静脈認証を登録。
でやってますね。
建屋間の移動はゲート毎に本人確認時に渡されるIDカードが必要。
建屋内部フロア別にあるサーバールームにはいるときに指先静脈認証が必要。
ご飯食べに一旦外に出ると、登録やり直しでめんどくさい。
Re: (スコア:0)
漏れた特徴データから指紋や網膜を再構成するのは難しいのではないだろうか。
とはいっても本人から盗まれたら困っとことになるのは間違いない。
Re: (スコア:0)
スキャンで一網打尽
国防やらスパイやら民間大手組織ウハウハ
Re: (スコア:0)
よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。
Re:パスワード管理ツール (スコア:1)
よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。
そこまでするんだったらメモ帳なんて使わずに
「いつも同じフレーズを追加する」でもいいんじゃないの?
記録という点を気にするなら、メモを金庫に入れておけばいい。