caretの日記: 指紋認証で Windows Hello, True Key と LastPass の比較検討とか 3
Cortana に関しては結局正式対応したマイクが見つからなかったので、正式非対応の安マイク(セットアップ時に対応してないよと怒られる)を代わりに使っていたりする。
もう一つ、Windows 生体認証フレームワーク (WBF) 対応の指紋リーダーを入手した。これで Windows 10 で指紋認証による Windows Hello が利用できるようになった。別に指紋認証ログオン(サインイン)自体は Windows 7 からあったから新機能でも何でもないけど、なぜかこの分野はサードパーティの独自実装ばかりで、標準機能を使ったのは初めて。
結局クリーン インストールせずに使い続けて Windows 10 バージョン 1607 になった環境なので、環境固有のものかもしれないが、サインイン オプションをまともに記憶してくれなかったり、あと思ったより判定がシビアで、適当にスワイプするともっとゆっくりスワイプしろだの、指紋を認識できないだの怒られて、しまいに何度も失敗するとロックアウトされて結局 PIN 入力する羽目になる。間違いなく本人の右手人差し指なのに。
うまくいったり、いかなかったり、わたしがへたくそでわるいのか PC がわるいのか指紋リーダーがわるいのか。やっぱり顔認証か虹彩認証もほしいなーと思った次第。静脈認証もサポートしてくれたっていいんだよ!
で、指紋リーダーを入手したら、こいつでパスワード周りをなんとかしたかった。前にも書いたけど Microsoft Edge の Windows Hello サポートとやらは FIDO 2.0 準拠、サイト側のサポートが必要らしく他のブラウザがまだサポートしていないような段階では実用的じゃない。さすがにパスワードの限界が叫ばれている中で FIDO が失敗するとは信じたくないけど。
代わりに True Key を使う気でいたが、パスワード管理ソリューションでは有名な LastPass も実は WBF による指紋認証をサポートしていた。だから選択に迷いが生じた。
適当にデータシート眺めたり、仮想マシンでさくっと検証してみたりで、比較したらこんな感じだった。
- ユーザ数
一例として、Chrome ウェブストアでの比較: LastPass: Free Password Manager - Chrome ウェブストア、True Key™ by Intel Security - Chrome ウェブストア。
LastPass のユーザー数: 4,347,429 人に対し、True Key のユーザー数: 155,954 人。桁違いで LastPass が圧倒している。ちなみに True Key の拡張機能は、ストアを検索では見つからない設定にされているみたい。 - 暗号化アルゴリズム
どのように動作する | LastPass では、次のように説明されている先進の暗号化アルゴリズム
AES-256 ビット暗号化、PBKDF2 SHA-256、およびソルト付きハッシュを実装し、クラウドで強固なセキュリティを確保しています。
対する、True Key のセキュリティ ホワイトペーパーでは
Selection of cryptographic primitives
The True Key app makes use of only the strongest and most trusted cryptographic primitives. These include:
• AES-256 in CCM mode
• RSA with 2048-bit keypairs
• PBKDF2 with HMAC-SHA512
• bcrypt KDFということで、True Key の方が暗号化は強固のようだ。セキュリティの基礎 – True Key ヘルプセンターに日本語での解説もある。一般向け。
UPDATE: 2016年8月15日 23:23
引用部分に載ってないみたいだけど、ユニークな 256-bit の salt もちゃんとある。 - 機能面
https://lastpass.com/ja/how-it-works/ の下部と https://www.truekey.com/#features に比較表がある。LastPass はエンタープライズ向けのプランがあり、組織での利用に適している。
True Key は個人向けのみにフォーカスされているが、生体認証へのサポートは手厚い。True Key アプリが動作するのは、インテル搭載デバイスだけですか? – True Key ヘルプセンターにあるように、インテル製だけあってインテルのプロセッサ セキュリティ テクノロジにも最適化されているようだ。 - 価格
LastPass - プレミアムへアップグレードによれば、1 年間の LastPassプレミアムは $12.一月あたり $1 というところ。
True Key は https://www.truekey.com/#pricing にあるが、プレミアムは $19.99/年とあるが米国向け。日本に切り替えると 2,678円/年と表示され最近の円高でややおま値感があるプライス。
UPDATE: 2016年8月15日 23:23
サイトが更新されていなかっただけで、実際にプレミアムに加入したらもう少し安かった。コメント参照。
問題は、True Key は無料会員では 15 個のパスワードしか保存できないというところだろう。LastPass の無料会員では無制限(指紋認証や、デバイス間での無制限の同期、多要素認証オプションなどがプレミアム機能)だから、True Key の無料会員はあくまでも評価版という感が強い。せめて 30 個とか 50 個にしようよ、とは思う。 - 対応環境 / ブラウザ
LastPass は Windows, Mac OS 10.7+, Linux, iOS 6.0+, Android 2.2+, Windows Phone 7.5+, Firefox OS 1.0+, Windows RT.
ブラウザは、デスクトップは Internet Explorer 11, Microsoft Edge, Firefox 2.0+, Chrome 18+, Safari 5+, Opera 11+. モバイルは(おそらくモバイル版 Chrome や Safari Mobile に加えて) Dolphin Browser 3.0+ (Android 2.0+), Firefox Mobile 4.0+. 手厚い。
True Key は Windows 7, 8, 8.1, 10, Mac OS X 10.10.2+, iOS 8+, Android 4.03+.
ブラウザは、Internet Explorer 10+, Google Chrome 37+, Firefox 41+. モバイルに関しては言及がない。Microsoft Edge でダウンロードを試みると「Windows Edge にはまだ対応していません。もう少しお待ちください。」と表示されたり、インストーラでも Edge は準備中と表示されるので、Edge は近日サポートということらしい。
Opera はDownload Chrome Extension 経由で Chrome 拡張機能を利用できた。Vivaldi も問題なく動作。 - 仮想環境で検証して感じた点とか
LastPass はあくまでも拡張機能 / アドオンとして完結している点に対し、True Key はアプリがあり、拡張機能はブラウザがアプリにアクセスするために存在している。このため、True Key は一度アプリにログインすればすべてのブラウザでそのまま使えるのに対し、LastPass はブラウザごとにログインが必要だ。
LastPass はブラウザ間で UI が完全に統一されておらず、雑多な印象を受ける。また、日本語ローカライズが不十分で、英語のままになっているリソースが多い(ブラウザによって、日本語の対応度合いの差もある)。True Key のローカライズは徹底されており、製品としての完成度は True Key の方が高い。また、軽く試したうちでも Firefox 版 LastPass は動作が不安定だった。IE 版は非常に古くさい UI だった。
LastPass が優れている面としては、安全ノート(暗号化されたセキュアなノート機能)機能があげられる。同様のセーフ ノート機能が True Key にあるが、添付ファイルをつけられる点や、フォルダ分類やノートの種類(銀行口座だとか、SSH鍵だとか、Wi-Fiパスワードだとか)を設定でき、カスタム種類を作成できる。True Key は 6 種類で色分けできるにとどまる。ただ、ウォレット情報は True Key はフォーム記入機能と統合されているようだ。
LastPass では、このフォーム記入にミドルネームや社会保障番号があり、日本の諸制度に見合った真のローカライズはできていない。True Key では基礎年金番号を保存できるようになっている。まぁ、今のところ個人番号をオンラインで記入する必要はほとんどないけど、基礎年金番号も入力する機会はない。
フォーム入力の精度とかは、さすがに検証用のアカウントに本格的に情報を入力するのは面倒だったのでスラドでしか試してないけど、True Key はインスタント ログイン機能があり、自動入力どころかログイン ボタンをクリックする手間まで省ける。
パスワード ジェネレータは、LastPass はいつでも拡張機能からアクセスできるのに対して、True Key はパスワードを登録する画面であることを認識して、そのフォームで作成機能が出てくる、という作りになっている。アプリからジェネレータにアクセスできれば便利なのだけど、そうはなっていない。
UPDATE: 2016年8月15日 23:23
True Key アプリからパスワード ジェネレータにアクセスするボタン、Launchpad にあった。
一応両方ともエクスポートはサポートしており、乗り換えはそこまで難しくないようだ。突然でなければ、サービス終了時もデータを移行できる。
LastPass はユーザ数が非常に多いだけに、攻撃者のターゲットにもなっているようだ。一方で True Key は、Adobe Flash Player へのバンドルを行っており、True Key そのもののレビュー記事があまりない代わりに削除方法がたくさん紹介されているような状態だ。歴史が浅いというのも影響しているのかもしれない。
結論として、価格はやや高いが True Key の方がプロダクトとして優れていると感じたので、True Key のプレミアムに加入することにした。サービスの継続性については、Intel Security 次第なのでがんばってください、としか言いようがない。もっとも、FIDO によるネイティブな生体認証サポートが当たり前となることが理想なのだけど。
True Key のプレミアム版にアップグレード、スラドのパスワードをさっそく変更 (スコア:2)
サイトの表示より値下がりしてて、¥ 2,480 だった。
スラドのパスワードはシステムの最大長の 20 文字、大文字と小文字、数字に特殊記号が入ったたいへん強固なやつになりました。
少なくともスラドではおかしな挙動はなく、しっかり動く。よくできてる。
デスクトップの指紋認証 (スコア:1)
USB接続のせいか、デバイスの認識までちょっとかかってる感はありますね。
ノートのとタブレットの埋め込みのは即座に使えるんですが...
M-FalconSky (暑いか寒い)
Re:デスクトップの指紋認証 (スコア:1)
やはり最初はわたしのスワイプが下手で、指紋データもあまり良い状態ではなかったみたい。
虹彩認証とか静脈認証なら、指紋リーダーに合わせたスワイプ技術を鍛える必要はないはず…(Apple に買収された AuthenTec の指紋センサーなので、ドライバがサポートされなくなったらこいつは一巻の終わりです。言うまでもなく Apple 買収以後はサードパーティへの配給はなくなった。)