パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘」記事へのコメント

  • たいとるおんりー

    外部からのメモリスキャンを許してる時点で、やりたい放題されているも同然なわけで、対応することで別のリスクが存在するのであればそりゃあ無視されるだろうとしか……。

    • パスワード管理ソフトの中身を抜くことができると「そのマシンに対してやりたい放題」から「管理ソフトに保存されてるアカウントなどにもやりたい放題」に被害レベルが上がるよ。

      あと、画面に表示したりする以上はメモリ上に平文のパスワードが存在することを完全に避けるのは難しい。
      このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
      「マスターパスワードを復号鍵の一部として使うようにしろよ」ってことだろうね。
      そうすれば「そのマシンにやりたい放題になってもマスターパスワードがわからないと管理ソフトの情報にはアクセスできない」となるから。

      まあデスクトップにマスターパスワードを書いたテキストファイルを置いてる人には同じことだけど。

      --
      うじゃうじゃ
      • >「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」

        さすがにソフトを立ち上げただけでマスターパスワードを入力してもいない状態からパスワードが漏洩することはない。
        それはパスワードファイルそのものに脆弱性があるということを意味するが、元記事ではパスワードファイル自体はどのアプリでも適切に暗号化されており、brute forceで破られるリスクは低いと結論づけている。

        実際に指摘されている問題は、一度アプリを立ち上げて「マスターパスワードを入力した後に」起こるもの。
        1) マスターパスワードからファイルの解読キーを生成した後、平文のマスターパスワードをすぐ破棄せずにメモリに残しているアプリがある。
        2) パスワードはユーザーが現在閲覧中のものしか平文でメモリに置いておく必要はなく、古いのはすぐ破棄すべきだが、閲覧したもの全てが残っている場合が多く、ひどいのはファイル内のものをいきなり全部解読してしまうものがある。
        3) アプリを落とさずにロックを掛けた場合、マスターパスワード、解読キー、解読したパスワードをすべてメモリから消去しアプリを立ち上げたばかりと同じ状態に戻すべきなのに、それをしていないアプリが多い。

        親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...