Q&A
質問者さん個人がメールを送るときに SMTP 認証を受けるための質問者さん個人のパスワードの話ですか? それとも、質問者さんが、例えばサイトの管理者か何かで、多数のユーザーのパスワードを DB などに保有して管理するときの話ですか?
独学の初心者です。
vb.netでユーザーのヤフーメール等のメールアカウントを使用して、メールを送信するフォームアプリを作っています。
利便性を考えてアドレスやパスワードを保存できるようにしたいのですが、推奨されるパスワードの安全な取扱いがよくわかりません。(保存と使用)
コードとしては、mailmessageクラスを使用してsmtp認証をしようとしていて、その際Credentialsプロパティ に平文のパスワードを渡さないといけません。
https://www.websec-room.com/2013/02/27/239
この辺りのページを見ましたが、パスワードはハッシュ化しており、独自方法での管理は推奨されていないとのことで、平文を扱う場合の推奨方法が知りたいです。
保存の場合は何らかの暗号化をした後、保存するとしてその推奨方法はどのようなものなんでしょうか。
また使用する時にも、securestringという安全なクラスがあることはわかりましたが、他のページを見るとsecurestringの使用は推奨されていないと書いてあり、どうすればいいのかわかりませんでした。
初心者で的外れなことを聞いているかもしれませんが、1から教えて頂けると大変助かります。
リンク先にあるのはパスワードの保存方法ではなく、ユーザーの入力したパスワードが正しいかどうか確かめるためのデータの保存方法ですね。パスワードは保存していません。
これはサーバーで行うものです。
ローカルでパスワードを保存する際には、自分のみ閲覧できる場所に平文で保存しても一応大丈夫です。自分のログインが保護されているので保存したデータもログインパスワードで保護されているという理屈です。
PC がクラッキングされることを予測し、それでも守りたいほどの大事なデータなら二重三重の守りを固めなければいけません。
Zuishinさま
投稿ありがとうございます。
確かにログインにより既にデータは保護されているというのも納得できます。
難しく考え過ぎていたのかもしれません。
ただ一般のメーラーはどのようにパスワードを管理しているのか気になったのです。
適当にAESで暗号化して保存しておけばそれでよく、メモリ上に平文が流れることなどは気にしなくてよいということでしょうか?
私の回答にマイナス評価を付けた人、理由を書こう。
メモリ上のことまで気にしていたら何もできません。そこまで考えているものは無いと思います。セキュリティと利便性は往々にしてトレードオフの関係にあるので、どこでバランスを取るかはそれぞれで考えなければならないと思いますが、PC に侵入された時点でだいたいアウトです。AES で暗号化するのは時間稼ぎにはなるのと、ユーザーにそれほど不便を強いないので、良い考えと私は思います。しかしそれで稼いだ時間を活用できないのでは単なる無駄です。セキュリティを気にするなら、パスワードが盗まれたことを検知するシステムと、その PC 以外から盗まれたパスワードを無効化する手段を持っておくのが良いのではないでしょうか。
Zuishinさま
技術者では無いので一般的に要求されるセキュリティレベルがどのくらいのものなのかわからなかったのです。
一般のメーラーやブラウザがパスワードを記憶してると思いますが、それと同程度のセキュリティが実現出来ればいいと思っています。
AESでは同程度にならないでしょうか?
AES で暗号化するにはキーが必要で、今度はそのキーをどこに保存しておくかということが求められます。そのキーを AES で保護するとまたそのキーが必要になります。いつまでたどってもきりがないので、適当なところでやめなければいけません。「同程度のセキュリティ」とは言っても、セキュリティレベルはそのソフトによってまちまちですから、自分でどの程度までと決めなければいけません。
たとえばパスワードをバックアップできるソフトなどは、それをリストアするのにパスワードが必要なものとそうでないものがあると思います。必要でないソフトのセキュリティレベルは、必要なソフトのものより低いと言えます。
よって「同程度」というものはありません。あくまで提供元が決める、もしくはユーザーがオプションで選ぶことです。
私の個人的意見では、キーをアプリにハードコーディングした AES での保存でも十分だと認識しますし、おそらくそれがクラックされて社会的に責められることは、ほぼないと思います。が、保証はしませんし、できません。
遅れてすみません。
ありがとうございます。
大変参考になりました。
その線で進めてみようと思います。
独学だと情報は集められますが、既に古い情報もあるでしょうし何を参考にしていいか常識とか標準がわからず、一番苦労しています。
回答2件
0
ベストアンサー
質問に対する私のコメント、
質問者さん個人がメールを送るときに SMTP 認証を受けるための質問者さん個人のパスワードの話ですか? それとも、質問者さんが、例えばサイトの管理者か何かで、多数のユーザーのパスワードを DB などに保有して管理するときの話ですか?
に返事が無いですが、たぶん前者であろうと想像して・・・
まず以下の記事を読んでもらって、
メールの送受信を暗号化するPOP3s/IMAP4s/SMTPs(over SSL)とは
https://www.atmarkit.co.jp/ait/articles/0801/18/news126.html
上の記事の図にある「メールサーバ」⇔「メールクライアント」の間の暗号化を実現するために、質問者さんが作っている「メールを送信するフォームアプリ」をどのように実装するかを考える話になると思います。
vb.net smtp ssl などをキーワードにググるといろいろ参考になりそうな記事がヒットすると思います。例えば下記。自分でもやってみてください。
SSL/TLSを使用してSMTPでメールを送信する
https://dobon.net/vb/dotnet/internet/smtpssltls.html
【追記】
デスクトップ上にパスワードを書いたtxtファイルを置いている、等と揶揄されることがよくあると思いますが、ローカルでそういった事態を起こさないパスワードの保存方法が知りたかったのです。
下の 2020/02/22 13:02 の私のコメントで「参考に後で画像を回答欄に貼っておきます」と書きましたが、下にそれを貼っておきます。
こういう機能があっても ID / パスワード一覧のメモを作る人はいると思いますが、それは質問者さんのメーラーの作り方とは次元の違う話だと思います。
個人の PC がクラッキングされてメーラーに保存したパスワードが漏洩する可能性まで考えるという話をしたいのですか?
投稿2020/02/22 03:40
編集2020/02/22 04:33退会済みユーザー
総合スコア0
SurferOnWwwさま
早速の回答ありがとうございます。
イメージとしてはユーザーにアプリを配布して第三者に使ってもらうイメージです。
通信経路上の話はおっしゃる通りsmtp over sslでの送信を考えております。
私が聞きたかったのはローカル上でのパスワードの取扱いについてです。
デスクトップ上にパスワードを書いたtxtファイルを置いている、等と揶揄されることがよくあると思いますが、ローカルでそういった事態を起こさないパスワードの保存方法が知りたかったのです。
うまく説明出来ずすみません。
> デスクトップ上にパスワードを書いたtxtファイルを置いている、等と揶揄されることがよくあると思いますが、ローカルでそういった事態を起こさないパスワードの保存方法が知りたかったのです。
質問者さんが作っている「メールを送信するフォームアプリ」に保存できるように作れば良いと思いますが。
質問者さんが普段使っているメーラーもそうなっていませんか? 自分は Windows Live メールを使ってますが、そういう設定があります。参考に後で画像を回答欄に貼っておきます。
画像までいろいろとありがとうございます。
>質問者さんが作っている「メールを送信するフォームアプリ」に保存できるように作れば良いと思いますが。
すみません、この部分の具体的な方法がわからないので教えて頂けますでしょうか?
アウトルックの場合だとレジストリ に保存していたと思いますが、レジストリ も今は推奨ではないと聞きます。
上にも書きましたが、私の知識ですと、パスワードをAESで暗号化してXMLに保存するくらいしかわかりません。
> 個人の PC がクラッキングされてメーラーに保存したパスワードが漏洩する可能性まで考えるという話をしたいのですか?
その可能性も考えています。
ですが、一般のメーラーのセキュリティレベルが実現出来ればそれでいいと考えています。
一般のメーラーに比べて私のアプリのセキュリティレベルが低いことでユーザーに危険を及ぼすという事態を避けたいのです。
自分で作成したアプリケーションでパスワードを保存する際の安全性についての話なのに何の話してるの?
Windows Forms アプリでユーザー固有の情報を保存しユーザーに変更を許すなら、自分が思いつくのは Settings.settings にスコープをユーザーに設定して保存するということです。
その場合、以下のフォルダに user.config という名前で保存されます。
C:\Users\<ユーザー名>\AppData\Local\<アプリケーション名>
詳しくは以下の記事を見てください。
構成ファイルの保存場所
http://surferonwww.info/BlogEngine/post/2019/09/01/where-are-configuration-files.aspx
その暗号化の話は「config 暗号化」などをキーワードにググると参考になる記事がいろいろヒットすると思いますので、やってみてください。
遅れてすみません。
教えて頂いた方法で調べてやってみようと思います。
大変ありがとうございました。
質問者さんの知りたい情報は得られてこれ以上質問が無ければこのスレッドはクローズしてください。まだ不明点・質問があれば、それを書いてください。
上の私のレスが行き違いになってしまったようで、すみません。
0
勝手に追記、覚え書き
パスワードの保存先としてはウィンドウズ 標準の資格情報マネージャーというものがあると知り、最適と判断
資格情報マネージャーはwin32APIから操作可能だが、vb.netのフォームアプリでは列挙体でのパラメータ指定等かなり面倒でnugetからAPIを叩くパッケージを導入
ユニバーサルウィンドウズ プラットフォームでの開発ではpasswordvaultクラスを使えば簡単に資格情報マネージャーを操作できるようでした
但し、前者はWindows資格情報、後者はweb資格情報を操作しており、厳密には操作対象は異なる
投稿2020/04/16 04:31
総合スコア5
あなたの回答
tips
プレビュー
