teratail
回答率
85.35%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
トップセキュリティーに関する質問
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

Q&A

解決済

5回答

845閲覧

暗号化されたパスワードが盗まれたらどうなりますか?

nouken
nouken

総合スコア369

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

0グッド

0クリップ

投稿2020/06/16 13:51

0

0

パスワードマネージャについて調べていたのですが、
ローカルで(サーバに送られる前に)暗号化されたパスワードが、
各デバイス同期などを実現するために、
クラウドに保管されていることがセキュリティ面でのデメリットとして挙げられていました。

疑問なのは、暗号化されているのだから、
仮にそれが漏洩しても元の暗号化前の情報に辿り着けなければ問題はないのではないか、
ということなのですが、
暗号化された機密情報が盗まれた際にどんな悪いことが起こりうるのでしょうか?

よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答5

0

ベストアンサー

ご質問の内容に対する答えは、北河 拓士さんの素晴らしい記事にすべて書いてあります。

おすすめのパスワード管理ソフトは? | Bizコンパス

要点は、信頼できるパスワード管理ソフト(ツール)は、暗号化されたパスワード情報を漏れることを前提にして設計されているということです。

ですが、それをどこまで信頼するかは、利用者の判断になります。まずは北河さんの記事を熟読くださ。

投稿2020/06/17 04:00

ockeghem
ockeghem

総合スコア11705

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

ここはいかがでしょうか。

投稿2020/06/16 23:58

kyoya0819
kyoya0819

総合スコア10429

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

暗号化されているのだから、仮にそれが漏洩しても元の暗号化前の情報に辿り着けなければ問題はないのではないか

パスワードマネージャである以上、正しい手順を踏めば元の暗号化前の情報に辿り着けるようになっていますので、前提が誤りです。

投稿2020/06/17 00:34

maisumakun
maisumakun

総合スコア146018

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

パスワードの存在意義は(この場合)、「それを知らなければ情報を取り出せない」点にあります。
逆に言えば、「パスワードが分かっていれば情報を取り出せる」のです。

不可逆であれ可逆であれ、暗号化されたパスワードが分かっていれば、正しいパスワードを類推するのにかかる手間が大きく減ることが期待できます。
桁数がどのように変化するか分かるだけでも、示唆される情報は多いのです。

完全な総当たりより手間が減る分、突破されやすくなります。

可逆暗号でパスワード無しでは解読できない暗号というのは、平文と同じ長さの(できればランダムな)パスワードを使用した置換暗号くらいしかありません(解読結果が正しいことを証明できない)。
パスワードを漏洩させない、というのは、重要なセキュリティ対策なのです。

投稿2020/06/17 00:25

tacsheaven
tacsheaven

総合スコア13703

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

https://tech.mid-japan.com/blog/2017/01/03/password-decryption/

[追記]
上のlink内容を読んで、hashがかかったパスワードでも、brute forceで解読されうるのだな、ということで暗号化されていても漏洩はリスクがあるのだな、と理解しました

が少し質問内容からは少しずれていたようです。各サイトで使うパスワード自体は暗号化のみ(復号可能)、パスワードマネージャのマスターパスワードはhash化されているようです。(以下のコメント参照)

投稿2020/06/16 13:58

編集2020/06/17 04:00
nouken
nouken

総合スコア369

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ockeghem
ockeghem

2020/06/16 14:12

参照されている記事はウェブサイト等のパスワード保存に関するもので、この場合は復号する必要がありませんが、元々の質問はパスワードマネージャーの話題ですので、元の(平文の)パスワードに戻せる必要があります。ちょっと質問内容からずれていると思いますが。
nouken
nouken

2020/06/16 14:19

hashがかかったパスワードでも、brute forceで解読されうるのだな、ということで暗号化されていても漏洩はリスクがあるのだな、と理解しましたが、違いましたでしょうか。
ockeghem
ockeghem

2020/06/16 14:25

パスワードマネージャーは内部的にHASHではなく復号可能な暗号化がされていますので出発点が異なります。
m.ts10806
m.ts10806

2020/06/16 21:41

この自己回答の意図が不明です。
m.ts10806
m.ts10806

2020/06/17 03:43

なにも説明だけURLだけ置いた回答の意図が不明だと言っています。 「調べたこと」として質問に追記すべき内容だったりしませんか?
ockeghem
ockeghem

2020/06/17 03:48

Since your data is fully encrypted and/or hashed before ever leaving your local device ですから、暗号化かハッシュあるいはその両方と読むべきです(and/or の箇所)。そして、your dataは、パスワードマネージャーに保存するサイトのパスワードと、パスワードマネージャーそのもののマスターパスワードを含みます。サイトのパスワードは復号可能である必要があるので暗号化のみ、マスターパスワードはハッシュ(PBKDF2 SHA-256)により、暗号キーが生成されるとhereをクリックした先に書いてあります。ちゃんと読みましょう。 そして、原理から考えてください。パスワードを元に戻せないと、登録したサイトでパスワードとして使えないじゃありませんか。
nouken
nouken

2020/06/17 03:49

質問した後にこの記事を見つけて、自分の中で解決したと思ったのでlinkをおいて回答とし解決済みとしましたが、ockegahmさんの指摘を受けて、再度解決済みを外したため、このような状態になってしまいました。以後、気を付けたいと思います。
m.ts10806
m.ts10806

2020/06/17 03:53

せめて「なぜこれを根拠に解決としたか」を回答に書きましょうよ。 間違ってる指摘はそれはそれで受けるとして、自己回答にしてはお粗末すぎます。 回答編集してください
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップセキュリティーに関する質問

暗号化されたパスワードが盗まれたらどうなりますか?