アカウント名:
パスワード:
>一方、1Password ではユーザーのデバイスで最初のサインアップ時に生成されるエントロピーの高い 128 ビットの秘密鍵があり、データの復号に必要な鍵を派生する際にアカウントのパスワードに織り込まれる。>この秘密鍵が 1Password のサーバーに渡されることは決してなく、1Password 側が保持するデータが攻撃者の手に渡ってもパスワードをクラックするには天文学的な時間を要するとのことだ。
LastPassはサーバー側のデータが盗まれたんでしょ?クライアント側の暗号化アピールはまず全く関係ないと思うんだが
で、サーバー側のデータの暗号化は、結局ユーザーが個別に設定するマスターパスワードに依存するしかなくて、マスターパスワードが弱かったら1passもサーバー側のデータの個別の強度はそう変わらんのでは?
LastPass は ユーザが設定したマスタパスワード == サーバ側のデータの複合に必要なマスタパスワードになってるけど,1Password は ユーザが設定したマスタパスワード+ユーザのローカルにしかない秘密鍵 == サーバ側のデータの複合に必要なマスタパスワードみたいな構成になってるってことなんじゃないですかね.
人間が作ったパスワードだとどうしても偏りがあるけど,1Password はそのまま使うんじゃなくてユーザのローカルにしかないエントロピーの高いデータを加味したものをマスタパスワードにしてるので,偏りが少なくなってより安全な構成になってるよ,と.
それだとデバイスAで最初にログインした後デバイスBで復号化出来ないじゃんデバイスAにしか無い秘密鍵で使った暗号化データを、どうやってデバイスBで復号化するの
登録デバイスを増やす場合、既に登録してありアンロック状態のデバイスの1Passwordから「別のデバイスをセットアップ」を選んでコードを取得する。全てのデバイスを紛失した場合は、最初にアカウントを作成した際に得られるEmergency Kitを使う。それもなくしたら? 知らんよ。あきらめろ。
1Passwordユーザーでいくつもの端末でセットアップしてるけどそんな事してないんだが。メールアドレスとUUIDとマスタパスワードだけで複合して、メールアドレスとUUIDはブラウザでフルの文字列見れるからサーバーで保存してる事は確実。
と思ったけど違ってたかも。確かにUUIDはブラウザ上で確認出来るけど、それがイコールサーバーに記録されている保証には確かにならないな。軽くネットワーク見た程度でUUIDがサーバーからのレスポンスには含まれてないしlocalstorageに記録されてるっぽいけど、ちゃんと暗号化されてるっぽいし。
1passwordのアカウント作成時にブラウザor端末側でUUIDを作成する+ブラウザ側のlocalstorageにUUIDを保存する。サーバー側にはUUIDとマスターパスワードで暗号化した済みのデータを送受信する。
別の端末でログインする時も、ログイン時にUUIDとマスターパスワードを入力するが、それをサーバーに送らずクライアント側だけで認証する。認証が通れば後は同じ。
とすれば確かに安全か。なるほど
クライアント側だけで認証じゃなくて、sshとか秘密鍵をローカルで必要な端末に持ちサーバに公開鍵を持たせるとか似たような事をやって安全性を保っているものは他にもあって割とスタンダードな方法だと思うよ。むしろLastPassがサーバ側にマスタパスワードを保存していたってのならそっちがおかしい。
1Passwordは最新版で従来ローカルにデータを置けたのを廃止しクラウド必須にしたので、自分達のやり方を正当化しておきたいってのもあるんじゃないかと。
クラウド強制は気に入らないので、旧版使えなくなるまでに乗り換え先見つけないと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
1passの言い分がよくわからん (スコア:0)
>一方、1Password ではユーザーのデバイスで最初のサインアップ時に生成されるエントロピーの高い 128 ビットの秘密鍵があり、データの復号に必要な鍵を派生する際にアカウントのパスワードに織り込まれる。
>この秘密鍵が 1Password のサーバーに渡されることは決してなく、1Password 側が保持するデータが攻撃者の手に渡ってもパスワードをクラックするには天文学的な時間を要するとのことだ。
LastPassはサーバー側のデータが盗まれたんでしょ?
クライアント側の暗号化アピールはまず全く関係ないと思うんだが
で、サーバー側のデータの暗号化は、結局ユーザーが個別に設定するマスターパスワードに依存するしかなくて、
マスターパスワードが弱かったら1passもサーバー側のデータの個別の強度はそう変わらんのでは?
Re: (スコア:0)
LastPass は
ユーザが設定したマスタパスワード == サーバ側のデータの複合に必要なマスタパスワード
になってるけど,1Password は
ユーザが設定したマスタパスワード+ユーザのローカルにしかない秘密鍵 == サーバ側のデータの複合に必要なマスタパスワード
みたいな構成になってるってことなんじゃないですかね.
人間が作ったパスワードだとどうしても偏りがあるけど,1Password はそのまま使うんじゃなくてユーザのローカルにしかないエントロピーの高いデータを加味したものをマスタパスワードにしてるので,偏りが少なくなってより安全な構成になってるよ,と.
Re:1passの言い分がよくわからん (スコア:2)
それに、ユーザーサイドに(ユーザーが設定しない)情報を持たせるのは、特に、マルチデバイスに対応していたりすると、かなり大変な気はしますね。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
それだとデバイスAで最初にログインした後デバイスBで復号化出来ないじゃん
デバイスAにしか無い秘密鍵で使った暗号化データを、どうやってデバイスBで復号化するの
Re: (スコア:0)
登録デバイスを増やす場合、既に登録してありアンロック状態のデバイスの1Passwordから
「別のデバイスをセットアップ」を選んでコードを取得する。
全てのデバイスを紛失した場合は、最初にアカウントを作成した際に得られるEmergency Kitを使う。
それもなくしたら? 知らんよ。あきらめろ。
Re: (スコア:0)
1Passwordユーザーでいくつもの端末でセットアップしてるけどそんな事してないんだが。
メールアドレスとUUIDとマスタパスワードだけで複合して、メールアドレスとUUIDはブラウザでフルの文字列見れるからサーバーで保存してる事は確実。
Re: (スコア:0)
と思ったけど違ってたかも。
確かにUUIDはブラウザ上で確認出来るけど、それがイコールサーバーに記録されている保証には確かにならないな。
軽くネットワーク見た程度でUUIDがサーバーからのレスポンスには含まれてないし
localstorageに記録されてるっぽいけど、ちゃんと暗号化されてるっぽいし。
1passwordのアカウント作成時にブラウザor端末側でUUIDを作成する+ブラウザ側のlocalstorageにUUIDを保存する。
サーバー側にはUUIDとマスターパスワードで暗号化した済みのデータを送受信する。
別の端末でログインする時も、ログイン時にUUIDとマスターパスワードを入力するが、それをサーバーに送らずクライアント側だけで認証する。
認証が通れば後は同じ。
とすれば確かに安全か。なるほど
Re: (スコア:0)
クライアント側だけで認証じゃなくて、sshとか秘密鍵をローカルで必要な端末に持ちサーバに公開鍵を持たせるとか
似たような事をやって安全性を保っているものは他にもあって割とスタンダードな方法だと思うよ。
むしろLastPassがサーバ側にマスタパスワードを保存していたってのならそっちがおかしい。
Re: (スコア:0)
1Passwordは最新版で従来ローカルにデータを置けたのを廃止しクラウド必須にしたので、
自分達のやり方を正当化しておきたいってのもあるんじゃないかと。
クラウド強制は気に入らないので、旧版使えなくなるまでに乗り換え先見つけないと。