Q&A
参照されている記事はウェブサイト等のパスワード保存に関するもので、この場合は復号する必要がありませんが、元々の質問はパスワードマネージャーの話題ですので、元の(平文の)パスワードに戻せる必要があります。ちょっと質問内容からずれていると思いますが。
パスワードマネージャについて調べていたのですが、
ローカルで(サーバに送られる前に)暗号化されたパスワードが、
各デバイス同期などを実現するために、
クラウドに保管されていることがセキュリティ面でのデメリットとして挙げられていました。
疑問なのは、暗号化されているのだから、
仮にそれが漏洩しても元の暗号化前の情報に辿り着けなければ問題はないのではないか、
ということなのですが、
暗号化された機密情報が盗まれた際にどんな悪いことが起こりうるのでしょうか?
よろしくお願いします。
回答5件
0
ベストアンサー
ご質問の内容に対する答えは、北河 拓士さんの素晴らしい記事にすべて書いてあります。
要点は、信頼できるパスワード管理ソフト(ツール)は、暗号化されたパスワード情報を漏れることを前提にして設計されているということです。
ですが、それをどこまで信頼するかは、利用者の判断になります。まずは北河さんの記事を熟読くださ。
投稿2020/06/17 04:00
総合スコア11701
0
暗号化されているのだから、仮にそれが漏洩しても元の暗号化前の情報に辿り着けなければ問題はないのではないか
パスワードマネージャである以上、正しい手順を踏めば元の暗号化前の情報に辿り着けるようになっていますので、前提が誤りです。
投稿2020/06/17 00:34
総合スコア145208
0
パスワードの存在意義は(この場合)、「それを知らなければ情報を取り出せない」点にあります。
逆に言えば、「パスワードが分かっていれば情報を取り出せる」のです。
不可逆であれ可逆であれ、暗号化されたパスワードが分かっていれば、正しいパスワードを類推するのにかかる手間が大きく減ることが期待できます。
桁数がどのように変化するか分かるだけでも、示唆される情報は多いのです。
完全な総当たりより手間が減る分、突破されやすくなります。
可逆暗号でパスワード無しでは解読できない暗号というのは、平文と同じ長さの(できればランダムな)パスワードを使用した置換暗号くらいしかありません(解読結果が正しいことを証明できない)。
パスワードを漏洩させない、というのは、重要なセキュリティ対策なのです。
投稿2020/06/17 00:25
総合スコア13703
0
https://tech.mid-japan.com/blog/2017/01/03/password-decryption/
[追記]
上のlink内容を読んで、hashがかかったパスワードでも、brute forceで解読されうるのだな、ということで暗号化されていても漏洩はリスクがあるのだな、と理解しました
が少し質問内容からは少しずれていたようです。各サイトで使うパスワード自体は暗号化のみ(復号可能)、パスワードマネージャのマスターパスワードはhash化されているようです。(以下のコメント参照)
投稿2020/06/16 13:58
編集2020/06/17 04:00
総合スコア369
hashがかかったパスワードでも、brute forceで解読されうるのだな、ということで暗号化されていても漏洩はリスクがあるのだな、と理解しましたが、違いましたでしょうか。
パスワードマネージャーは内部的にHASHではなく復号可能な暗号化がされていますので出発点が異なります。
この自己回答の意図が不明です。
https://bitwarden.com/help/article/can-bitwarden-see-my-passwords/
BitwardenというパスワードマネージャのFAQに「暗号化され、ハッシュ化されている」と記載されていたのですが、違うのでしょうか。
なにも説明だけURLだけ置いた回答の意図が不明だと言っています。
「調べたこと」として質問に追記すべき内容だったりしませんか?
Since your data is fully encrypted and/or hashed before ever leaving your local device ですから、暗号化かハッシュあるいはその両方と読むべきです(and/or の箇所)。そして、your dataは、パスワードマネージャーに保存するサイトのパスワードと、パスワードマネージャーそのもののマスターパスワードを含みます。サイトのパスワードは復号可能である必要があるので暗号化のみ、マスターパスワードはハッシュ(PBKDF2 SHA-256)により、暗号キーが生成されるとhereをクリックした先に書いてあります。ちゃんと読みましょう。
そして、原理から考えてください。パスワードを元に戻せないと、登録したサイトでパスワードとして使えないじゃありませんか。
質問した後にこの記事を見つけて、自分の中で解決したと思ったのでlinkをおいて回答とし解決済みとしましたが、ockegahmさんの指摘を受けて、再度解決済みを外したため、このような状態になってしまいました。以後、気を付けたいと思います。
せめて「なぜこれを根拠に解決としたか」を回答に書きましょうよ。
間違ってる指摘はそれはそれで受けるとして、自己回答にしてはお粗末すぎます。
回答編集してください
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。