9/07/2014

パスワードマネージャのセキュリティ

ブルース・シュナイアーのブログ「Security of Password Managers」の超訳。



パスワードマネージャのセキュリティ

今年のUSENIXセキュリティで、パスワードマネージャのセキュリティを研究した2つの論文があった。

興味深い仕事で、とりわけ、セキュリティを改善する筈だったものが、セキュリティの問題であると見ているからだ。

私は昔から、簡単に思い出す事ができるパスワードは辞書攻撃に対する脆弱性を持つという深刻な問題を解決するため、パスワードマネージャを推薦してきた。今週始めハッカーがセレブのiCloudの写真を漏洩させた際、世界は心の底から注意を得た。攻撃はiCloudの欠陥を突いたものではなく、弱いパスワードを悪用したものだった。

セキュリティはしばしば便利さとトレードオフにあり、ほとんどのパスワードマネージャはブラウザのページで自動的にパスワードを入力してしまう。これは結局はセキュリティを保つ事を難しいものにしてしまい、パスワードマネージャに攻撃を広げてしまう。

私自身が使っているパスワードマネージャ「Password Safe」は、いずれの論文には言及されていなかった。私は明確に自動入力しない設計した。そして明確にスタンドアローンアプリケーションとして設計した。Password Safeからブラウザページへのパスワードの転送する手っ取り早い方法は、OS自体のカットアンドペーストコマンドを使う手法だ。

私は、長い強固なパスワードを選択できるようにするという理由だけで、まだパスワードマネージャを使う事を推奨する。そして、あなたが覚えるべきわずかなパスワードには、パスワードを生成する私のスキームがここにある。