ユーザがマスターパスワード(彼らはこの用語を使っている。)を忘れたらどうするべきか。彼らは "LastPass is never sent your Master Password, so we can't send it to you or reset it for you." という1文の後に以下のような内容を記載しています。 ・ ヒントを見て思い出す。 ・ 一度ログインしたことのあるブラウザがあるなら、ローカルに保存されているワンタイムパスワードを使ってアカウント回復ページにログインしてみる。 ・ 過去90日以内にマスターパスワードを変更している場合、元に戻す操作が可能。但し、それをしたら
「マスターパスフレーズ」と「ログインパスワード」の分離が必須 (スコア:2)
クラウド同期機能が付いたパスワード管理サービスを安全に提供するためには、「マスターパスフレーズ」と「ログインパスワード」を分離することが必須です。
マスターパスフレーズ
管理対象のパスワードを暗号化する際に使用するパスフレーズ。
管理対象の暗号化されたパスワードを復号(パスワード管理アプリを利用する)する際に毎回入力する。
利便性を高めるためにやむを得ない場合には、端末の揮発性メモリにのみ一定時間記憶する。
サーバには送信されないので、パスワード管理サービス提供会社も確認することができない。
ログインパスワード
クラウドサ
Re: (スコア:2)
LastPass社の説明とは食い違いますね。
ユーザがマスターパスワード(彼らはこの用語を使っている。)を忘れたらどうするべきか。彼らは "LastPass is never sent your Master Password, so we can't send it to you or reset it for you." という1文の後に以下のような内容を記載しています。
・ ヒントを見て思い出す。
・ 一度ログインしたことのあるブラウザがあるなら、ローカルに保存されているワンタイムパスワードを使ってアカウント回復ページにログインしてみる。
・ 過去90日以内にマスターパスワードを変更している場合、元に戻す操作が可能。但し、それをしたら
Re: (スコア:0)
保存データを復号化するパスワードはハッシュだけでも受けとったら駄目でしょ。
保存データと復号鍵がサーバ側で揃えられたら、攻撃方法によっては保存データを盗み出せてしまう。
ログインのために送信するのはN+M回ハッシュした値で、
データの復号化はクライアント側で保持しているN回ハッシュした値で行うとかなら大丈夫かも知れないけど。
Re:「マスターパスフレーズ」と「ログインパスワード」の分離が必須 (スコア:0)
LastPassはそのN+M回ハッシュしたものを送って認証する方式らしいので、サーバ側に送られる情報で保存データを復号化される心配は無いみたいですね。
クライアントプログラムをアップデートで改竄されたらどうしようもないでしょうが。