パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘」記事へのコメント

  • 複数のパスワード管理ツールにて
    現状、脆弱性により「パスワードを盗み出す攻撃が可能」
    脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」

    ということは
    パスワード管理ツールを使わないほうが安全ってこと?

    • あえてその方向性に乗るなら「パスワード管理ツールは、ホントはOSの外に切り出すべきだよね」ですかね。私のおすすめはパスワード管理ツールによる人間の頭では暗記不能なほど強固なパスワードと、FIDO U2Fトークンなどの多要素認証の組み合わせですね。

      パスワード管理ツールを使わずに、記号とかで複雑にしたつもりだけどやっぱり暗記できるくらい簡単なパスワードでがんばる、というのはもう無理です。

      親コメント
    • by Anonymous Coward on 2019年02月26日 14時21分 (#3571416)

      無関係な事項を書き連ねる際に「ということは」で繋ぐのは適切ではありません。

      親コメント
      • by Anonymous Coward

        「パスワード管理ツールにて」でくくられてないの?

    • by Anonymous Coward on 2019年02月26日 14時45分 (#3571433)

      現状の脆弱性によるリスク < 解決によって生じるリスク、は記事から言える。
      現状の脆弱性があるパスワードマネージャを使うリスクと、使わないでパスワードを管理するリスクの比較が、どこにも書いてない。
      つまり「ということは」は論理的に導き出せない。

      個人的には #3571406 の人も言ってるようにメモリスキャンが出来るという前提条件がそもそも難しい条件っていうか詰んでるので、そら現実的な驚異は限られているだろとしか思えない

      親コメント
    • by Anonymous Coward

      昔から、「卵は一つのカゴに盛るな」って言いますが、
      「パスワード管理ツール」 って、まさに一つのカゴですから
      昔から使う気になれませんでしたが
      やっぱりねぇ

      • by bPMb5 (48587) on 2019年02月26日 15時09分 (#3571446)
        あなたの頭 = 一つのカゴ、な
        親コメント
      • by Anonymous Coward

        複数のパスワード管理ツールを使えばいいのでは?

        • by Anonymous Coward

          あのパスワードはどのパスワード管理ツールに保管していたっけ? ってなりそう

          • 自分は、銀行系とそれ以外で分けてる。

            --
            svn-init() {
              svnadmin create .svnrepo
              svn checkout file://$PWD/.svnrepo .
            }
            親コメント
          • by Anonymous Coward

            あのパスワードがどこにあるか管理するメインのパスワード管理ツールAと
            偶数桁の暗号化済みパスワードを管理するパスワード管理ツールBと
            奇数桁の暗号化済みパスワードを管理するパスワード管理ツールCと
            パスワードの暗号を解除するパスワード管理ツールDと

            ...etc

    • by Anonymous Coward

      元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな

      • by Anonymous Coward

        今はそうだろうね……

        生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。

        • by Anonymous Coward

          変更の効かない生体認証がパスワードに代わることはありえない。
          現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、
          それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。

          生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。
          しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。

          • 替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。

            # ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。
            # シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。

            成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。

            親コメント
          • 生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。 しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。

            こいつド素人だなw

            • by Anonymous Coward

              生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない、
              って昔はよく言われてたことなんだけど今は違うんかな?

              マイクロソフトのHololens 2は虹彩認証でログインできるみたいだが。

              • >生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない

                時々利用しているデータセンターでは
                本人確認はパスポートか運転免許証提示し確認されたらIDカードを渡される。
                パスワード的なのは毎回入場時に指先静脈認証を登録。
                でやってますね。

                建屋間の移動はゲート毎に本人確認時に渡されるIDカードが必要。
                建屋内部フロア別にあるサーバールームにはいるときに指先静脈認証が必要。

                ご飯食べに一旦外に出ると、登録やり直しでめんどくさい。

                親コメント
          • by Anonymous Coward

            漏れた特徴データから指紋や網膜を再構成するのは難しいのではないだろうか。
            とはいっても本人から盗まれたら困っとことになるのは間違いない。

      • by Anonymous Coward

        スキャンで一網打尽
        国防やらスパイやら民間大手組織ウハウハ

    • by Anonymous Coward

      よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。

      • by kicchy (4711) on 2019年02月26日 19時31分 (#3571657)

        よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。

        そこまでするんだったらメモ帳なんて使わずに
        「いつも同じフレーズを追加する」でもいいんじゃないの?
        記録という点を気にするなら、メモを金庫に入れておけばいい。

        親コメント

物事のやり方は一つではない -- Perlな人

処理中...