パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘」記事へのコメント

  • 複数のパスワード管理ツールにて
    現状、脆弱性により「パスワードを盗み出す攻撃が可能」
    脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」

    ということは
    パスワード管理ツールを使わないほうが安全ってこと?

    • by Anonymous Coward

      元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな

      • by Anonymous Coward

        今はそうだろうね……

        生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。

        • by Anonymous Coward

          変更の効かない生体認証がパスワードに代わることはありえない。
          現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、
          それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。

          生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。
          しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。

          • 替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。

            # ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。
            # シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。

            成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。

            親コメント

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...