アカウント名:
パスワード:
>一方、1Password ではユーザーのデバイスで最初のサインアップ時に生成されるエントロピーの高い 128 ビットの秘密鍵があり、データの復号に必要な鍵を派生する際にアカウントのパスワードに織り込まれる。>この秘密鍵が 1Password のサーバーに渡されることは決してなく、1Password 側が保持するデータが攻撃者の手に渡ってもパスワードをクラックするには天文学的な時間を要するとのことだ。
LastPassはサーバー側のデータが盗まれたんでしょ?クライアント側の暗号化アピールはまず全く関係ないと思うんだが
で、サーバー側のデータの暗号化は、結局ユーザーが個別に設定するマスターパスワードに依存するしかなくて、マスターパスワードが弱かったら1passもサーバー側のデータの個別の強度はそう変わらんのでは?
LastPass は ユーザが設定したマスタパスワード == サーバ側のデータの複合に必要なマスタパスワードになってるけど,1Password は ユーザが設定したマスタパスワード+ユーザのローカルにしかない秘密鍵 == サーバ側のデータの複合に必要なマスタパスワードみたいな構成になってるってことなんじゃないですかね.
人間が作ったパスワードだとどうしても偏りがあるけど,1Password はそのまま使うんじゃなくてユーザのローカルにしかないエントロピーの高いデータを加味したものをマスタパスワードにしてるので,偏りが少なくなってより安全な構成になってるよ,と.
それだとデバイスAで最初にログインした後デバイスBで復号化出来ないじゃんデバイスAにしか無い秘密鍵で使った暗号化データを、どうやってデバイスBで復号化するの
登録デバイスを増やす場合、既に登録してありアンロック状態のデバイスの1Passwordから「別のデバイスをセットアップ」を選んでコードを取得する。全てのデバイスを紛失した場合は、最初にアカウントを作成した際に得られるEmergency Kitを使う。それもなくしたら? 知らんよ。あきらめろ。
1Passwordユーザーでいくつもの端末でセットアップしてるけどそんな事してないんだが。メールアドレスとUUIDとマスタパスワードだけで複合して、メールアドレスとUUIDはブラウザでフルの文字列見れるからサーバーで保存してる事は確実。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
1passの言い分がよくわからん (スコア:0)
>一方、1Password ではユーザーのデバイスで最初のサインアップ時に生成されるエントロピーの高い 128 ビットの秘密鍵があり、データの復号に必要な鍵を派生する際にアカウントのパスワードに織り込まれる。
>この秘密鍵が 1Password のサーバーに渡されることは決してなく、1Password 側が保持するデータが攻撃者の手に渡ってもパスワードをクラックするには天文学的な時間を要するとのことだ。
LastPassはサーバー側のデータが盗まれたんでしょ?
クライアント側の暗号化アピールはまず全く関係ないと思うんだが
で、サーバー側のデータの暗号化は、結局ユーザーが個別に設定するマスターパスワードに依存するしかなくて、
マスターパスワードが弱かったら1passもサーバー側のデータの個別の強度はそう変わらんのでは?
Re: (スコア:0)
LastPass は
ユーザが設定したマスタパスワード == サーバ側のデータの複合に必要なマスタパスワード
になってるけど,1Password は
ユーザが設定したマスタパスワード+ユーザのローカルにしかない秘密鍵 == サーバ側のデータの複合に必要なマスタパスワード
みたいな構成になってるってことなんじゃないですかね.
人間が作ったパスワードだとどうしても偏りがあるけど,1Password はそのまま使うんじゃなくてユーザのローカルにしかないエントロピーの高いデータを加味したものをマスタパスワードにしてるので,偏りが少なくなってより安全な構成になってるよ,と.
Re: (スコア:0)
それだとデバイスAで最初にログインした後デバイスBで復号化出来ないじゃん
デバイスAにしか無い秘密鍵で使った暗号化データを、どうやってデバイスBで復号化するの
Re: (スコア:0)
登録デバイスを増やす場合、既に登録してありアンロック状態のデバイスの1Passwordから
「別のデバイスをセットアップ」を選んでコードを取得する。
全てのデバイスを紛失した場合は、最初にアカウントを作成した際に得られるEmergency Kitを使う。
それもなくしたら? 知らんよ。あきらめろ。
Re:1passの言い分がよくわからん (スコア:0)
1Passwordユーザーでいくつもの端末でセットアップしてるけどそんな事してないんだが。
メールアドレスとUUIDとマスタパスワードだけで複合して、メールアドレスとUUIDはブラウザでフルの文字列見れるからサーバーで保存してる事は確実。