アカウント名:
パスワード:
残るはユーザーが各自設定してるマスターパスワード1つだけで攻撃者が「こいつを攻撃すると」と狙いを定めて、マスターパスワードが弱かったらもう丸裸って事なのかな。
自分は1password使ってるけど、そこのマスターパスワード(的なもの)は正直弱いんだよね。だってブラウザで開く度に毎回入力してるし、そこに複雑なの覚えてらんない。(まあそこだからこそ頑張って複雑にしろって話だとは思うけど)
マスターパスワードを強固にしておくのは前提中の前提なので・・・・いちいちそれぞれのkey derivationの実装まで調べるほうが面倒なので、素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね頑張れば意外と覚えられるし入力もできるものですよ無理ならお使いのパスワードマネージャの鍵導出アルゴリズム調べてどこまで短くしても実効的に128bit程度の強度が確保できるか考えるしかないです
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね頑張れば意外と覚えられるし入力もできるものですよ
なぜ暗記を推奨する習わしを復活させたがるのだろうか鍵ファイルなり指紋認証なりワンタイムな他要素認証なり属人スキルに頼らない仕組みをすすめてあげようよ
#4385799です。強固なマスターパスワードを使うか使わないかの議論をしているときのthreat modelで対象にしてる危険性は、> 鍵ファイルなり指紋認証なりワンタイムな他要素認証なりで対象にしているものと異なるからですね。
加えて言うならそれが一番シンプルで、一番簡単だからです。ワンタイムは全然別の事態への対応用ですし、指紋認証は私がアルゴリズムを全く理解しておらずどの程度の強度があるのか見当すらつかないので。パスワードの強度計算は高校生でもできます。
1passwordがどうしてるか知りませんが、私は当然おっしゃられたようなマスターパスワード以外の認証をいれていますよ。その上で強固なマスターパスワードが必要かは各々のthreat modelによります。私はマスターパスワードが必要だと判断しました。その場合、それが対象とする事態に対処できる唯一の手段は鍵導出に頼るかはともかくとして「強固」なパスワードだけです。
この手のセキュリティはむやみやたらに色々やっても無意味どころか危険性が増す可能性すらあるので、まずはthreat modelingするのがいいです。マルウェアなどのを想定危機から除外し、AESを信用するなら、マスターパスワードを最大限に強化するのが一番簡単で一番安全で一番シンプルです。微妙に異なるモデリングなら、オフライン同期した鍵ファイルでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
要するに (スコア:0)
残るはユーザーが各自設定してるマスターパスワード1つだけで
攻撃者が「こいつを攻撃すると」と狙いを定めて、マスターパスワードが弱かったらもう丸裸って事なのかな。
自分は1password使ってるけど、そこのマスターパスワード(的なもの)は正直弱いんだよね。
だってブラウザで開く度に毎回入力してるし、そこに複雑なの覚えてらんない。
(まあそこだからこそ頑張って複雑にしろって話だとは思うけど)
Re: (スコア:0)
マスターパスワードを強固にしておくのは前提中の前提なので・・・・
いちいちそれぞれのkey derivationの実装まで調べるほうが面倒なので、
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
頑張れば意外と覚えられるし入力もできるものですよ
無理ならお使いのパスワードマネージャの鍵導出アルゴリズム調べてどこまで短くしても実効的に128bit程度の強度が確保できるか考えるしかないです
Re: (スコア:1)
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
頑張れば意外と覚えられるし入力もできるものですよ
なぜ暗記を推奨する習わしを復活させたがるのだろうか
鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
属人スキルに頼らない仕組みをすすめてあげようよ
Re:要するに (スコア:0)
#4385799です。
強固なマスターパスワードを使うか使わないかの議論をしているときのthreat modelで対象にしてる危険性は、
> 鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
で対象にしているものと異なるからですね。
加えて言うならそれが一番シンプルで、一番簡単だからです。
ワンタイムは全然別の事態への対応用ですし、指紋認証は私がアルゴリズムを全く理解しておらずどの程度の強度があるのか見当すらつかないので。
パスワードの強度計算は高校生でもできます。
1passwordがどうしてるか知りませんが、私は当然おっしゃられたようなマスターパスワード以外の認証をいれていますよ。
その上で強固なマスターパスワードが必要かは各々のthreat modelによります。
私はマスターパスワードが必要だと判断しました。
その場合、それが対象とする事態に対処できる唯一の手段は鍵導出に頼るかはともかくとして「強固」なパスワードだけです。
この手のセキュリティはむやみやたらに色々やっても無意味どころか危険性が増す可能性すらあるので、まずはthreat modelingするのがいいです。
マルウェアなどのを想定危機から除外し、AESを信用するなら、マスターパスワードを最大限に強化するのが一番簡単で一番安全で一番シンプルです。
微妙に異なるモデリングなら、オフライン同期した鍵ファイルでしょうか。