アカウント名:
パスワード:
>一方、1Password ではユーザーのデバイスで最初のサインアップ時に生成されるエントロピーの高い 128 ビットの秘密鍵があり、データの復号に必要な鍵を派生する際にアカウントのパスワードに織り込まれる。>この秘密鍵が 1Password のサーバーに渡されることは決してなく、1Password 側が保持するデータが攻撃者の手に渡ってもパスワードをクラックするには天文学的な時間を要するとのことだ。
LastPassはサーバー側のデータが盗まれたんでしょ?クライアント側の暗号化アピールはまず全く関係ないと思うんだが
で、サーバー側のデータの暗号化は、結局ユーザーが個別に設定するマスターパスワードに依存するしかなくて、マスターパスワードが弱かったら1passもサーバー側のデータの個別の強度はそう変わらんのでは?
LastPass は ユーザが設定したマスタパスワード == サーバ側のデータの複合に必要なマスタパスワードになってるけど,1Password は ユーザが設定したマスタパスワード+ユーザのローカルにしかない秘密鍵 == サーバ側のデータの複合に必要なマスタパスワードみたいな構成になってるってことなんじゃないですかね.
人間が作ったパスワードだとどうしても偏りがあるけど,1Password はそのまま使うんじゃなくてユーザのローカルにしかないエントロピーの高いデータを加味したものをマスタパスワードにしてるので,偏りが少なくなってより安全な構成になってるよ,と.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
1passの言い分がよくわからん (スコア:0)
>一方、1Password ではユーザーのデバイスで最初のサインアップ時に生成されるエントロピーの高い 128 ビットの秘密鍵があり、データの復号に必要な鍵を派生する際にアカウントのパスワードに織り込まれる。
>この秘密鍵が 1Password のサーバーに渡されることは決してなく、1Password 側が保持するデータが攻撃者の手に渡ってもパスワードをクラックするには天文学的な時間を要するとのことだ。
LastPassはサーバー側のデータが盗まれたんでしょ?
クライアント側の暗号化アピールはまず全く関係ないと思うんだが
で、サーバー側のデータの暗号化は、結局ユーザーが個別に設定するマスターパスワードに依存するしかなくて、
マスターパスワードが弱かったら1passもサーバー側のデータの個別の強度はそう変わらんのでは?
Re: (スコア:0)
LastPass は
ユーザが設定したマスタパスワード == サーバ側のデータの複合に必要なマスタパスワード
になってるけど,1Password は
ユーザが設定したマスタパスワード+ユーザのローカルにしかない秘密鍵 == サーバ側のデータの複合に必要なマスタパスワード
みたいな構成になってるってことなんじゃないですかね.
人間が作ったパスワードだとどうしても偏りがあるけど,1Password はそのまま使うんじゃなくてユーザのローカルにしかないエントロピーの高いデータを加味したものをマスタパスワードにしてるので,偏りが少なくなってより安全な構成になってるよ,と.
Re:1passの言い分がよくわからん (スコア:2)
それに、ユーザーサイドに(ユーザーが設定しない)情報を持たせるのは、特に、マルチデバイスに対応していたりすると、かなり大変な気はしますね。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。