PrivaPass
パスワードセキュリティの基本
パスワードはどのように盗まれるのか
アカウント乗っ取りの多くは、パスワードを直接解読するものではありません。過去のデータ漏洩から流出した何十億件ものメールアドレスとパスワードの組み合わせがオンラインで取引され、攻撃者はそれを他のサイトでそのまま試します。誰もがあちこちで同じパスワードを使い回しているために成立するこの手口を、クレデンシャルスタッフィングと呼びます。脆弱で平凡なパスワードは、自動化された辞書攻撃や総当たり攻撃のツールにすぐ破られ、フィッシングページは入力した内容をすべて盗み取ります。最大のリスクは使い回しです。一つのサイトが漏洩しただけで、同じパスワードを共有するすべてのアカウントが危険にさらされます。
本当に強いパスワードの条件
記号よりも長さのほうが重要です。ランダムな16文字のパスフレーズは総当たり攻撃に何世紀も耐えますが、複雑に見える短い「P@ssw0rd!」は数秒で破られます。一つの漏洩が他のログインへ連鎖しないよう、アカウントごとに固有のパスワードを設定すべきです。名前や誕生日、辞書に載っている単語など、公開された情報から推測できるものは避けましょう。生成ツールは、人間なら思いつかない高エントロピーの文字列を作り出し、人間特有の予測しやすさを取り除いてくれます。
端末内の金庫がクラウドに勝る理由
クラウド型パスワード管理サービスは、暗号化された金庫の写しを自社サーバーに保管するため、それ自体が格好の攻撃対象となります。しかも利用者は、その会社のセキュリティ、従業員、稼働状況を信頼するほかありません。PrivaPassはAES-256-GCMで暗号化した金庫をあなた自身のブラウザのストレージ内に保管するので、侵害される中央サーバーも、フィッシングされるアカウントも、失効するサブスクリプションもありません。マスターパスワードが端末から外に出ることは決してなく、漏洩チェックにはk-anonymityを用いるため、照会の過程でも何一つ明らかになりません。
PrivaPassとは?
PrivaPassは、すべてのパスワードをAES-256-GCM暗号化で生成・保存・管理する無料のブラウザベースパスワードマネージャーです。AES-256-GCMは銀行や政府機関も採用している標準と同じものです。内蔵のジェネレーターは、長さ(64文字以上)と大文字・小文字・数字・記号の組み合わせを自由に設定して、暗号学的に強力なランダムパスワードを生成するため、弱くて使い回しがちなパスワードを自分で考える必要は二度とありません。利用者は、すべてのアカウントに固有のパスワードを割り当てたり、銀行・メール・SNSのログイン情報を一つのマスターパスワードで保管したり、あるパスワードが既知のデータ漏洩に含まれていないか確認したり、暗号化バックアップをノートPCとスマートフォンの間で持ち運んだりするためにPrivaPassを使います。ボルト全体はブラウザのIndexedDBに保存され、ディスクに書き込まれる前に暗号化されます。漏洩チェックのときでさえ、いかなるデータもサーバーに送信されません。インストールも、アカウント登録も、サブスクリプションもありません。すべての暗号化処理がブラウザ内のJavaScriptとして実行されるため、ページが読み込まれた瞬間からPrivaPassは完全にオフラインで動作し、生成したパスワードもボルトもデバイスを離れることはありません。
PrivaPassの使い方
- 1
1. パスワードを生成
ジェネレーターを使用して、長さや文字オプション(大文字・小文字・数字・記号)をカスタマイズした強力なランダムパスワードを作成します。記憶しやすいパスフレーズの生成も可能です。
- 2
2. ボルトに保存
マスターパスワードで保護された暗号化ボルトにパスワードを安全に保存します。サイト名・ユーザー名・メモも一緒に管理でき、ワンクリックでコピーして使用できます。
- 3
3. エクスポートとバックアップ
暗号化されたバックアップをダウンロードして、デバイス間でパスワードを移行したり安全なコピーを保管します。バックアップはマスターパスワードなしでは解読できないため、安全に保管できます。
PrivaPassが安全な理由
クラウド型パスワードマネージャーは暗号化されたボルトのコピーを自社サーバーに保管するため、それ自体が格好の攻撃対象となり、利用者はそのセキュリティ・従業員・稼働状況を信頼するしかありません。PrivaPassは正反対のアプローチを取ります。すべてをブラウザ内でAES-256-GCMにより生成・暗号化し、ボルトはデバイスを離れません。侵害される中央サーバーも、フィッシングされるアカウントも、失効するサブスクリプションもありません。マスターパスワードはサーバーにも、ボルトを復号するほんの一瞬を超えてメモリにも保存されないため、設計上、復元は不可能です。これは同時に、あなた以外の誰もボルトを開けないことを意味します。すべてが完全にクライアント側で処理されるため、これを鵜呑みにする必要はありません。パスワードを生成したり項目を保存したりしている間にブラウザのDevToolsネットワークタブを開けば、アップロードリクエストが一切発生していないことを確認できます。さらに確実な証拠として、ページ読み込み後にWi-Fiを切ってみてください。生成・保存・検索・エクスポートがすべてそのまま動作します。そもそもサーバーへ送られるものが何もないからです。インターネットに接続する唯一の機能は任意の漏洩チェックだけで、それもk-匿名性方式を用いてパスワードハッシュの先頭5文字だけを送信するため、照合の過程でもパスワードが漏れることはありません。