Security

クラウドにパスワードファイルを置くなら

投稿日:

少し前に、パスワード管理アプリのパスワードデータが不正アクセスされた問題について、パスワード情報をクラウドに保存して大丈夫なのか? で言及しました。

個人的には、パスワードファイル(暗号化されていても)をクラウドに保存することはお勧めしません。ですが、もし保存するのであれば、パスワードファイルに複数の鍵を掛けておくべきでしょう。冒頭の記事にもありますが、一般的に、パスワードファイルそのものに「パスワード」が掛けられているのですが、これだけでは不安です。そのため、例えば「キーファイル」のような鍵の役割を持つファイルも持っていないとパスワードが見られないようにしておけば、より安心です。このキーファイルはクラウドには置かず、その端末側だけに保存して使います。

このサイトでも紹介している KeePass には、この機能があります。

KeePassで、マスターパスワードとキーファイルを指定しているところ。

冒頭の記事にある LastPass というアプリに、このような機能はなかったのでしょうか? もしあったとしたら、パスワードファイルをクラウドに置く場合は、その機能の利用を必須にするべきだったと思います。

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

OWASPによる脆弱性対策に関するページ(www.owasp.org)を調べてみました

目次1. www.owasp.org について2. 関係してそうなカテゴリーページ3. 脆弱性別対策ページApplication ArchitectureCross-site Scripting (X …

セキュリティ

最新のCVEの情報源

最新のCVEの情報源を紹介します。

セキュリティ

パスワード管理ツールもアプリケーションの1つに過ぎず、安全性はユーザー次第である

パスワード管理ツールも普通のアプリケーションに過ぎず、それほど安全ではないという話です。

KeePass

KeePass の自動入力でURLを比較させるため、Chrome拡張機能「URL in title」を使う

KeePass の自動入力のために、Chrome拡張機能「URL in title」を使う手順を紹介します。

Web Security

PHPの各PDOドライバは、静的プレースホルダ/動的プレースホルダのどちらを使用しているのか?

目次今のところの結論MySQL (PDO_MYSQL)の場合その他のデータベース用ドライバ参考 今のところの結論 データベースにも依るだろうが、そもそもプリペアドステートメントが使えないSQL文法があ …