【SSS】ガチ勢分析!KeePassのココがすごい

KeePass パスワード管理ソフト

セキュリティ王者KeePass Password Safe(通称キーパス)を、ここぞとばかりに使い倒した当サイトが、怒涛の勢いで紹介していく。

KeePassを知らない方にワクワクを押し付けるので、心の準備をしておこう。

スポンサーリンク

何でもかんでも暗号化される

KeePassのデータベースに記入したログインID(ユーザー名)・パスワードは当然ながら、メモや添付ファイル(免許証画像などに最適)、ようするにすべてが暗号化される。

ただ、どのパスワード管理ソフトでも暗号化するのは当たり前なので、実際に魅力があるのは添付ファイル無制限くらいだ。

そして、それらのデータを利用する際に必要なパスワードは、マスターパスワード1つだけだ!

なお、クラウド型にすると「マスターパスワード1つ理論」が崩壊するので注意(今見ても意味不明なので無視推奨)。

ちゃんとやれば問題はなく、むしろセキュリティ意識がどの程度か掴めるはずだ。

謎の文字、上位のANSI文字を使える

他のパスワード管理ソフトにまず実装されていないため、1文字でも入れておけば総当たり攻撃にあったとしても、「ANSI文字を含めない攻撃は無意味」抽選を無理やり増やせる。

いくら総当たり攻撃をしても、ANSI文字を最初から試行対象に入れていないのなら、永遠に解読できないということだ。

ただし、サービス側がANSI文字に対応していることは海外でも30%ほどで(私の経験談)、日本のサービスにいたってはまず対応されていない=パスワードを設定できない

少々面倒くさいが強力かつ基礎であるため、できるなら癖をつけて毎回試してみよう。

登録時にANSI文字を含めたものを使い、受け付けてくれなかったら普通のパスワード管理ソフトと同様、大小英数記号を含めたパスワードで妥協する使い方をしよう。それでも十分なセキュリティだ。

つまり、他のパスワード管理ソフトでANSI文字がない原因は、利便性を考慮した結果。

スポンサーリンク

オープンソースで不正が仕込めない

ソースコードが公表されているオープンソースは、他のアプリにも組み込めたり(流用して昇華)、こっそり悪いコードを仕込むこともできる。

だが、現役バリバリの技術者が、勉強がてらに人気であれば人気であるほど確認してくれる

どんどんバグが改善され、史上最強化するということだ。

「企業秘密でコードが公開されていないパスワード管理ソフト」より、数の暴力でチェック回数が多くなるため、必然的に安全が洗練されていく。

  • 大勢がチラ見するためセキュリティ爆上げ
  • 洗練された結果、時代にあった新機能ぞくぞく
  • オープンソースから刺激され、KeePassですらない別の上位互換の誕生

といったことも抽選され、世の中が良くなる可能性を秘めたとんでもシステムなのだ。

ぷっぷ
ぷっぷ

オープンソース自体が凄いよ!

バグ報奨金プログラムを開始

AppleやGoogleなど、最高峰の企業がしているようなバグ報奨金プログラムを、KeePassも開始した。

参考EU-FOSSA – KeePass(英語)

危険なバグであればあるほど報酬は跳ね上がるぞ! 最高で25,000ユーロ(約300万)のようなので、バグ発見能力をお持ちの方は、ルールを確認して獲物を狩ろう。

これにより、通常は動かないであろうお金目当ての技術者も確認するため、より一層バグ発見に拍車がかかる。

ぷっぷ
ぷっぷ

Bug Bounty Hunter(バグバウンティハンター)って名乗れるかも!

スポンサーリンク

自由度の高い自動入力

KeePassは「自動入力をしたいウィンドウを開いた状態」で「自動入力コマンドを入力」すると、Twitterのように定番かつ簡素なログイン画面や、

自動入力

複数項目のジャパンネット銀行でも、スマートに高速ダダダダ入力できる。

ただ、自由度が高いかわりに細かく設定していく必要があるため、メリットだけ強奪することはできず、学ぶ時間と妥協は必須だろう。

当サイトではその辺の難しい設定を真似して終わらせるよう、高度な設定を以下の記事でわかりやすく、

自動入力コマンドはカンニングページを用意している。

ブラウザ以外やオフラインでも自動入力

人気のパスワード管理ソフトはブラウザ拡張機能であることが多く、「ブラウザに表示される自動入力」はできるが、「ブラウザを使わないアプリなどのログイン」はペタペタ貼りを強制される。

KeePassなら問答無用でどのウィンドウも自動入力に設定でき、ネット接続ですら必要ない

「ブラウザを経由しないログインを豊富に使っている」なら、一番満足に使えるパスワード管理ソフトだろう。

参考対象のウィンドウで自動入力させたいウィンドウを指定

さらに、ブラウザ拡張を使用しない=拡張機能に何か仕込まれる抽選を除外でき、なんちゃってセキュリティも獲得。

スポンサーリンク

意図的に負荷をかけて解読を遅らせる

この機能は、万が一データの入ったファイルが盗まれた際に、意図的に負荷をかけて解読を遅らせ、孫の世代はおろか宇宙推定寿命まで解読させない保険として使う。

メモリ消費を強制して負荷をかけるArgon2は、比較的新しい技術でもあり激レアだ。

どうやらクラウド型の1Password・bitwarden・LastPassでは利便性の関係(クロスプラットフォーム?)によりArgon2を導入しづらいようだが、KeePassは元々クラウド型ではないためアッサリ実装された。

パスワードを試すたび「指定したメモリを強制」されるため、高速解読をしようとも無駄にメモリを消費していき、激烈に遅くなる。効率的なGPUやASICを使った高速攻撃に対して、絶大な効果を発揮できるわけだ。

このように現代的かつ強すぎるため、当サイトは過大評価している。

ゆえに是非とも使いたいところだ。

こちらの効果的だがわかりにくい設定も、当サイトの記事でカンニングをしていき、知識の習得を無視して無理やりセキュリティ向上をさせよう。

参考ChaCha20・Argon2

スポンサーリンク

キーファイル最強伝説

クラウド型パスワード管理ソフトは、なんといってもいろんな端末、スマホやパソコンで自然に使えるのが最大の魅力だ(クロスプラットフォーム)。

KeePassはそれができないからオフラインでも自動入力が使え、Argon2で負荷をかけたり尋常じゃないセキュリティを上乗せできるが、外部のクラウドストレージに置いて読み取る使い方をすれば真似できる。

ここで活躍するのがキーファイルといって、KeePassを開く際に使うマスターパスワードとは別の、ファイル型の鍵だ。クラウドからデータベースが盗まれても、自分の端末にキーファイルを置いておけば、自分の端末から盗む手間を増やせる

クラウドに侵入しても、同時に所有者の端末に不正侵入=無理難題を押し付けるわけだ。

クラウドに不正侵入されると告知される → パスワードを変更する人が多数予想される → 犯人側は同時に盗まなければ意味がないと悟る。キーファイルとArgon2が活躍するとはいえ、未知の新技術が発明されるとまずいので、変えずに放置は推奨しない。

ご覧のとおり、クラウドに侵入されているのにもかかわらず限りなく無敵なのが魅力。

これは、「自社クラウドのパスワード管理ソフトユーザーが、喉から手が出るほど羨む機能」なので、喉から手を出そう。

ぷっぷ
ぷっぷ

ベロベロバ~(๑´ڡ`๑)

もう一度言うが、「データベースをクラウド」・「キーファイルは自分の端末に置く」であって、両方ともクラウドに置くとキーファイルも盗まれて意味がないぞ!

スポンサーリンク

KeePassへGO!

途中で気づいたかもしれないが、セキュリティを求めると利便性は落ちていく

それでも惚れ込んだ・納得したのなら、わかりにくいインストールを画像つきで説明させていただくので、使っていこう。

Androidで使うなら、Keepass2Androidアプリ以外考えられないので、そちらを使うといい。

ここまで言っておきながら、iPhoneユーザーはアプリが微妙なのでオススメできない。

残念だがクラウド型にもオープンソースのbitwardenが君臨しているので、そちらを使うといいだろう。

コメント

  1. 匿名 より:

    bitwardenのgpg署名が見当たらないのですが、どこにありますか?

    • ぷっぷ ぷっぷ より:

      な、なにそれー!(゚~゚o)
      Dockerがなんなのかわからないレベルのため、高度すぎてよくわかりません……。
      ですが、GNU Privacy Guard(GnuPGまたはgpg)のことでしょうか?GitHubの方でも検索しましたがよくわからず。
      ただ、gpgという単語がよく出現するフォーラムを発見しました。
      私が見てもよくわかりませんが(すごく違う気がする)、役に立つ可能性を込めて参照リンク置いておきますね(๑´ڡ`๑)
      参照BitwardenのGithubリポジトリでコミットやタグに署名する
      違ったらごめんなさい! 普通にないのかも?