At home, at work, or on the go, Bitwarden easily secures all your passwords, passkeys, and sensitive information.
github.com 恥ずかしながらわたし、つい最近まで類似のパスワードを適当に記憶に頼って数種類使い分けるという運用をしていた。しかしながら、次のようなメールが期間をおいていくつか届き、類似のパスワードを使っている他のサービスに被害が及ぶのを恐れて、ランダムにパスワードを生成して保存するツールを作った。 いくつかのECサイト、特に小規模ECサイトは2要素認証が設定できないものが多く*1、あのアマゾンでさえ…と思ったら、いつのまにか2要素認証できるようになっていた。そうはいっても一部のサイトではクレジットカード情報を保存しておきながら2要素認証しないとか不安しかないので、自分でパスワード管理できるプログラムを練習がてら作って運用をまるごと変えることにした。既存のパスワード管理のソフトウェアやサービスがいくつもあるが、以下の理由でやめた 無料サービスは信用できない 有料サービスはちょっと躊躇
NFC Ringを買った.これはNFCタグを伴った指輪で,プログラマはタグのユーザ領域を好きに使うことができる.めっちゃかっこいい. (画像は Horizon – NFC Ringより引用) nfcring.com 僕はこの活用法として,NFC Ringを鍵としたスマートなパスワード管理という構想を実現させようと思った. しかし自前でパスワードマネージャを書くのは練習になるとはいえリスキーだと思い,OSSで何か良いものはないかと探してみたら面白いツールを見つけた.pass というシンプルな名前のツール.検索しにくそうだ. www.passwordstore.org これは,UNIX哲学に則りgitとPGPでパスワードを管理するツールのようだ.gitもPGPも大好きだ.これを使わない手はない.NFC Ringと連動させれば,CUI特有の面倒も軽減できるだろう. アーキテクチャ アーキテクチャ
(Last Updated On: 2018年4月3日)パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」(ちなみにMD5はもっと危険)とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 Slashdot.orgにまた載っているので更に高速化できた、ということか? 参考: RainbowテーブルによるMD5ハッシュのクラック(英語) RainbowテーブルによるSHA1ハッシュのクラック(英語) 前のエントリ PostgreSQLでSHA1 でPostgreSQLでSHA1を使う方法の一つを紹介していますが可能であればSHA512など、より強いハッシュ関数を利用したり、Saltを利用する、等の方法を採用した方が良いと思います。 備考:
今のWebサービスはID/パスワード認証のものばかりです。だからといって同じものを使い回したり、覚えやすいようにと短いものを設定しては意味がありません。となると必要になるのがパスワード管理ソフトウェアでしょう。 1PasswordやLastPass、KeePassなど様々なソリューションがありますが、今回はGoogle Chrome機能拡張のMitroを紹介します。 Mitroの使い方 Mitroは個人のパスワード管理はもちろん、チームでのシェアもできるのが便利です。使い方としてもID/パスワードをクリック一つでクリップボードに入ってくれるので手軽に使えるでしょう。サーバサイドのコードも提供されていますので自分たちだけのパスワードサーバを立てられるでしょう。 MitroはGoogle Chrome用のオープンソース・ソフトウェア(GPL v3)です。 Mitro | The easiest
これはずっと待ち望んでたー! あらゆるサービスでパスワードが必要な昨今、同じパスワードを使いまわすことの危険性はわかっているとはいえ、毎回違うパスワードを考え、覚えておくのは難しいものです。 こうした問題は、パスワードの生成、管理をするツールを使うことで解決することができます。有料でよければ1password、無料ならKeyPassXがそれぞれマルチプラットフォームで使えて便利です。 さて、個人のパスワードであればこれでOKなのですが、まだ課題がありました。企業やグループで共有するパスワードの管理です。例えば開発用のTwitterアカウントを共有するといった用途が考えられますね。 これまではオフラインで見せたりして伝え、ローカルに保存する時は暗号化して、といったようなルールで乗り切るしかなかったのですが、安全性と利便性のバランスや、個々の意識やリテラシの違いまで含めて管理することは事実上は
『PassKeys』 バージョン:1.0 App Store価格:無料 (バージョンと価格は記事掲載時のものです) いくら指紋認証などに対応していて、ラクにパスワードを入力できる『1Password』が便利でも、SafariやPocketなど一部対応アプリにしかすばやくパスワードを入力できないのは窮屈。キーボードふうの『PassKeys』なら、どこへでもサッとログインできる! PassKeysは、iPhone上に追加したパスワードから任意に呼び出して入力できるシンプルな管理アプリ。リスト形式で保存されるのでスグにみつけられる。パスワードの同期/共有といった今っぽい機能はないけど、“AES”や“Twofish”といった信頼性の高い技術でパスワードを保護するのでデータ漏洩のリスクは少ないよ。 便利すぎてビビったのが、標準キーボードと切り替えられるパスワード入力パネル。追加したIDやパスワードは
2月1日~3月18日は「サイバーセキュリティ月間」です。 普及啓発活動へご協力ください。 不審なメールによる情報漏えい被害や個人情報の流出など、生活に影響を及ぼすサイバーセキュリティに関する問題が多数報じられています。 誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。 このため、政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、サイバーセキュリティに関する様々な取組を集中的に行っていきます。
今回は、私自身がずっと課題に感じていた「企業やチームでのパスワード管理」について。 前職で全社の情報システム部に所属していたことがあるので、以前から企業セキュリティにはかなり興味があるのですが、大企業では、セキュリティがガチガチで利便性が無い。逆にスタートアップは、セキュリティ?みたいな感じが非常に多いと思います。大抵の場合「セキュリティねえ、わかるよ、わかるけど面倒だよね」みたいな考えを持っている人が多く、あまり積極的では無いような気がします。一度失敗した経験が無いとあまり身近に感じないのではないでしょうか。 セキュリティ対策というとやることはたくさんあるけど、どの企業も抜けているんではないかと課題視していたのが、チームでのパスワード管理。自分自身もリスクあるなあと思いながら暗中模索していたんですが、ようやくそんな悩みを解決できるMeldiumというサービスを見つけてしまいました。しかも
マルウェア「Citadel」に特定のパスワード管理ソフトのプロセスを検知するとキー入力を取得するという機能が追加されたという報道がありました。この狙いは、パスワード管理ソフトの要である「マスターパスワード」を盗み取るためでしょう。 マスターパスワードとは、登録されているすべてのパスワードにアクセスするための最も大切なパスワードです。例えるなら守衛室にあるような色々な部屋の鍵が入れてあるロッカーの鍵だと思っていただければいいかと思います。 パスワード管理ソフトでは登録されているすべてのパスワードをまとめたファイル(以下、パスワードデータ)は、このマスターパスワードで暗号化されています。そのため、仮にマルウェアに感染していて、最悪、パスワードデータを盗み出せたとしてもマスターパスワードが分からない限り中身を見ることができないわけです。しかし、前述したようにこのマスターパスワードを盗むために追加
手持ちのアカウントが増えてくるとパスワードの管理方法が考えどころとなります。このところメジャーなネットサービスへの不正ログインやアカウントの悪用が相次いで報じられていることもあり パスワード管理の重要性は「古くて新しい問題」としてあらためて広い層に浸透しつつあります。 その一方でパスワードをきっちり管理することは必ずしも簡単ではありません。平易な内容だと第三者によって類推・導出されるリスクが大きいものの複雑にすると覚えにくい。だからと言って複数のサービスで同じものを使いまわすとそれが漏洩した場合に一斉に攻撃を受ける危険がある。結局、安全度の高いパスワードをサービスごとに使い分けることは人間の記憶だけでは困難なので何らかの外部記憶を利用することになります。ただし、それが何らかのデバイスであれコンピュータデータの形式であれ、情報としてそこへ保存した時点で盗難・流出の可能性はゼロではなくなります
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く