【SSS】ガチ勢分析!KeePassのココがすごい

不正が仕込めないオープンソース

セキュリティ王者KeePass Password Safe(通称キーパス)を、ここぞとばかりに使い倒した当サイトが、怒涛の勢いで紹介していく。

KeePassを知らない方にワクワクを押し付けるので、心の準備をしておこう。

スポンサーリンク

何でもかんでも暗号化される

ロック

KeePassのデータベースに記入したログインID(ユーザー名)・パスワードは当然ながら、メモや添付ファイル(免許証画像などに最適)、ようするにすべてが暗号化される。

ただ、どのパスワード管理ソフトでも暗号化するのは当たり前なので、実際に魅力があるのは添付ファイル無制限くらいだ。

そして、それらのデータを利用する際に必要なパスワードは、マスターパスワード1つだけだ!

なお、クラウド型にすると「マスターパスワード1つ理論」が崩壊するので注意(今見ても意味不明なので無視推奨)。

ちゃんとやれば問題はなく、むしろセキュリティ意識がどの程度か掴めるはずだ。

謎の文字、ラテン1補助を使える(旧:上位のANSI文字)

意味不明な文字列

他のパスワード管理ソフトにまず実装されていないため、1文字でも入れておけば総当たり攻撃にあったとしても、「ラテン1補助を含めない攻撃は無意味」抽選を無理やり増やせる。

いくら総当たり攻撃をしても、ラテン1補助を最初から試行対象に入れていないのなら永遠に解読できないということだ。

ただし、サービス側がラテン1補助に対応していることは海外でも30%ほどで(私の経験談)、日本のサービスにいたってはまず対応されていない=パスワードを設定できない

少々面倒くさいが強力かつ基礎であるため、できるなら癖をつけて毎回試してみよう。

登録時にラテン1補助を含めたものを使い、受け付けてくれなかったら普通のパスワード管理ソフトと同様、大小英数記号を含めたパスワードで妥協する使い方をしよう。それでも十分なセキュリティだ。

つまり、他のパスワード管理ソフトでラテン1補助がない原因は、利便性を考慮した結果。

スポンサーリンク

オープンソースで不正が仕込めない

色んな人がチェック

ソースコードが公表されているオープンソースは、他のアプリにも組み込めたり(流用して昇華)、こっそり悪いコードを仕込むこともできる。

だが、現役バリバリの技術者が、勉強がてらに人気であれば人気であるほど確認してくれる

どんどんバグが改善され、史上最強化するということだ。

「企業秘密でコードが公開されていないパスワード管理ソフト」より、数の暴力でチェック回数が多くなるため、必然的に安全が洗練されていく。

  • 大勢がチラ見するためセキュリティ爆上げ
  • 洗練された結果、時代にあった新機能ぞくぞく
  • オープンソースから刺激され、KeePassですらない別の上位互換の誕生

といったことも抽選され、世の中が良くなる可能性を秘めたとんでもシステムなのだ。

ぷっぷ
ぷっぷ

オープンソース自体が凄いよ!

バグ報奨金プログラムを開始

AppleやGoogleなど、最高峰の企業がしているようなバグ報奨金プログラムを、KeePassも開始した。

参考EU-FOSSA – KeePass(英語)

危険なバグであればあるほど報酬は跳ね上がるぞ! 最高で25,000ユーロ(約300万)のようなので、バグ発見能力をお持ちの方は、ルールを確認して獲物を狩ろう。

これにより、通常は動かないであろうお金目当ての技術者も確認するため、より一層バグ発見に拍車がかかる。

ぷっぷ
ぷっぷ

Bug Bounty Hunter(バグバウンティハンター)って名乗れるかも!

スポンサーリンク

自由度の高い自動入力

KeePassは「自動入力をしたいウィンドウを開いた状態」で「自動入力コマンドを入力」すると、Twitterのように定番かつ簡素なログイン画面や、

自動入力

複数項目のジャパンネット銀行でも、スマートに高速ダダダダ入力できる。

ただ、自由度が高いかわりに細かく設定していく必要があるため、メリットだけ強奪することはできず、学ぶ時間と妥協は必須だろう。

当サイトではその辺の難しい設定を真似して終わらせるよう、高度な設定を以下の記事でわかりやすく、

自動入力コマンドはカンニングページを用意している。

ブラウザ以外やオフラインでも自動入力

人気のパスワード管理ソフトはブラウザ拡張機能であることが多く、「ブラウザに表示される自動入力」はできるが、「ブラウザを使わないアプリなどのログイン」はペタペタ貼りを強制される。

KeePassなら問答無用でどのウィンドウも自動入力に設定でき、ネット接続ですら必要ない

「ブラウザを経由しないログインを豊富に使っている」なら、一番満足に使えるパスワード管理ソフトだろう。

参考対象のウィンドウで自動入力させたいウィンドウを指定

さらに、ブラウザ拡張を使用しない=拡張機能に何か仕込まれる抽選を除外でき、なんちゃってセキュリティも獲得。

スポンサーリンク

意図的に負荷をかけて解読を遅らせる

利用者の抵抗

この機能は、万が一データの入ったファイルが盗まれた際に、意図的に負荷をかけて解読を遅らせ、孫の世代はおろか宇宙推定寿命まで解読させない保険として使う。

メモリ消費を強制して負荷をかけるArgon2は、比較的新しい技術でもあり激レアだ。

どうやらクラウド型の1Password・bitwarden・LastPassでは利便性の関係(クロスプラットフォーム?)によりArgon2を導入しづらいようだが、KeePassは元々クラウド型ではないためアッサリ実装された。

パスワードを試すたび「指定したメモリを強制」されるため、高速解読をしようとも無駄にメモリを消費していき、激烈に遅くなる。効率的なGPUやASICを使った高速攻撃に対して、絶大な効果を発揮できるわけだ。

このように現代的かつ強すぎるため、当サイトは過大評価している。

ゆえに是非とも使いたいところだ。

こちらの効果的だがわかりにくい設定も、当サイトの記事でカンニングをしていき、知識の習得を無視して無理やりセキュリティ向上をさせよう。

参考ChaCha20・Argon2

スポンサーリンク

キーファイル最強伝説

クラウド型パスワード管理ソフトは、なんといってもいろんな端末、スマホやパソコンで自然に使えるのが最大の魅力だ(クロスプラットフォーム)。

KeePassはそれができないからオフラインでも自動入力が使え、Argon2で負荷をかけたり尋常じゃないセキュリティを上乗せできるが、外部のクラウドストレージに置いて読み取る使い方をすれば真似できる。

ここで活躍するのがキーファイルといって、KeePassを開く際に使うマスターパスワードとは別の、ファイル型の鍵だ。クラウドからデータベースが盗まれても、自分の端末にキーファイルを置いておけば、自分の端末から盗む手間を増やせる

クラウドに侵入しても、同時に所有者の端末に不正侵入=無理難題を押し付けるわけだ。

クラウドに不正侵入されると告知される → パスワードを変更する人が多数予想される → 犯人側は同時に盗まなければ意味がないと悟る。キーファイルとArgon2が活躍するとはいえ、未知の新技術が発明されるとまずいので、変えずに放置は推奨しない。

ご覧のとおり、クラウドに侵入されているのにもかかわらず限りなく無敵なのが魅力。

これは、「自社クラウドのパスワード管理ソフトユーザーが、喉から手が出るほど羨む機能」なので、喉から手を出そう。

ぷっぷ
ぷっぷ

ベロベロバ~(๑´ڡ`๑)

もう一度言うが、「データベースをクラウド」・「キーファイルは自分の端末に置く」であって、両方ともクラウドに置くとキーファイルも盗まれて意味がないぞ!

スポンサーリンク

KeePassへGO!

途中で気づいたかもしれないが、セキュリティを求めると利便性は落ちていく

それでも惚れ込んだ・納得したのなら、わかりにくいインストールを画像つきで説明させていただくので、使っていこう。

Androidで使うなら、Keepass2Androidアプリ以外考えられないので、そちらを使うといい。

ここまで言っておきながら、iPhoneユーザーはアプリが微妙なのでオススメできない。

追記:2019年4月8日

コメント欄で買い切り有料だがまともなiOSアプリ:KyPass 4を教えてもらった。ただ、想像していたオープンソースとは違ったため、詳しくはコメント欄でのやりとりを確認をしよう。

また、現在は待望のiOS用KeePass「KeePassium」が登場しているので、iPhoneユーザーはぜひとも使うと良い。

問題は私がiPhoneを持っていないため、翻訳記事がない事(そのうち購入するが今ではない)。

無料でやりくりしたいのなら、クラウド型にもオープンソースのbitwardenが君臨しているので、妥協としては申し分ない。

コメント

  1. 匿名 より:

    いつも拝読させていただいております。

    >オープンソースから刺激され、KeePassですらない別の上位互換の誕生
    こちらはどういうものかとても気になっています。
    名称等の詳細を教えていただけないでしょうか?
    よろしくお願いいたします。

    • ぷっぷ より:

      オープンソースの全体効果の話ですので、なにかのサービスとかではなく、オープンソース自体がこんな感じで優秀ですよと伝えたいのです ∩(・∀・∩

  2. 匿名 より:

    Windows/Mac/Linux: KeePassXC
    Android: KeepassDX(F-Droid)
    iOS: KeePassium

    ファイル自体はGDriveなりIceDriveなりに突っ込めばいいのでこれが最強かもしれない

    • ぷっぷ より:

      私は公式のKeePass派です!
      Macと使っているならXCで固定化させるかもだけど∩(・∀・∩
      認識は完璧に合っています!

  3. 匿名 より:

    Firefox Lockwiseの記事は書かないんですか?
    アレもオープンソースのパスワードマネージャーですよ

    • ぷっぷ より:

      まだまだ保留かもー(゚~゚o)
      あれって他のブラウザで使えないですよね?
      今後他のブラウザで利用できるようになったらするかもしれないし、Mozillaユーザーにはブラウザ効率もよくて刺さるのは確実だけど、優先度はまだまだ先ですね。
      やること立て込んでるもので(´ε`;)
      やりすぎロードマップ

      • Raymond・Debian より:

        私の場合はMozillaユーザーなんで、大歓迎ですw

        それと、Lockwiseは、iPhone,Android(Chromebook,Chromiumbook で使えるかはまだ確かめてません)アプリがあるので、むしろスマホだけのユーザーにとっては有利かも…。

        ちなみに、Chrome拡張機能にはありませんでした。

        • ぷっぷ より:

          なるほど、スマホだけのユーザーには響くかもしれませんね。
          モバイルのFirefoxユーザーがモバイルのOperaレベルという点に目をつむれば(゚´Д`゚)゚。
          こんなに少ないのは驚きかも。

  4. 木綿 より:

    初めまして。いつもこのサイトには1日数回は確実に見にくるレベルでお世話になってます。
    数日前にこの記事を見たときに「IPhone用のやつそろそろいいものが出てるのでは?」という感じで公式サイトを漁ってみたところもうご存知かもしれないですがKeePassiumというアプリが現在ベータ版だということがわかりました。詳しくはまだいじってみてないのでなんとも言えませんがオープンソースでクラウドにも対応してたりその他も色々含め有り体に言うなら可能性を感じたので報告させて頂きます(こういうコメントは久し振りなので文章がおかしかったらごめんなさい

    • ぷっぷ より:

      ヘビーユーザーありがとうございます!
      更新頻度死んでいてごめんなさい……(´ε`;) この業界のソフトは内容が濃すぎて(セキュリティホールっぽいの潰すの大変)、効率悪すぎ~オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.

      KeePassium……初耳です! 公式のダウンロードにもベータなのに上に配置されてますね。
      内容を見たところ、無料でもFaceIDを使えるんですか!これは大本命∩(・∀・∩
      参考KeePassium – KeePass app for iOS | KeePassium(公開予定7月31日)

      iOSユーザーは乗り換えの可能性大ですね。
      iPhone持っていないのに凄い魅力を感じます。
      そう、iPhoneを持っていないので日本語対応していないKeePassiumを紹介することができないのです(゚´Д`゚)゚。
      お金持ちになって、iPhone買ったら紹介します……。やりすぎロードマップ
      とりあえず、iPhoneユーザーの方用に追記しておきます(゚~゚o)

  5. N. Kaitoh より:

    なんとなくの印象ですけど、最近のセキュリティ業界は「PCやスマホに物理的にアクセスされたらどう対策しても結局いつか破られる」って考えてるような気がしますね。それよりインターネット経由の攻撃を防ぐほうに注力してるんじゃないかと(WindowsのログインとかでPINが推奨されてるのとか見ると特にそう思います)。

    で、こっから本題なんですけど。
    KeePassのキーファイルに、ハードディスク上のファイルじゃなくて物理的な電子キー(たとえばYubikeyとか)使えるのご存知です?
    僕はYubikeyのチャレンジ-レスポンス認証をKeePassのキーファイル代わりにしてるんですけど、この方法だと
    – キーファイルを(クラウド共有などせずに)安全に持ち歩ける
    – ワンタイムパスワード方式と違って、認証時にインターネット接続が必要ない
    – Yubikey 5以降はNFCがついているので、Androidでも使用可能(すいません、iPhoneは持ってないので確認してないです)
    など、利便性とセキュリティをかなり高いレベルで両立できる…気がします。

    ちょっとお高い(6000円くらいかな)ですし、設定のハードルもやや高めですが、いつかお試しください(そして解説記事書いてくれたらすごく嬉しいです)!

    • ぷっぷ より:

      Syncの件ありがとうございました(*゚▽゚)

      なんとなくの印象ですけど、最近のセキュリティ業界は「PCやスマホに物理的にアクセスされたらどう対策しても結局いつか破られる」って考えてるような気がしますね。

      「それがトレンドなのかなぁ」と、私も真似して言ってたりします∩(・∀・∩

      KeePassのキーファイルに、ハードディスク上のファイルじゃなくて物理的な電子キー(たとえばYubikeyとか)使えるのご存知です?

      私の財力が死んでいるので、やりたい事リスト的に超絶後半となっております……
      でも、将来確実にやるのは確かだと思います! 一つのYubikeyで何個も同時に使えるかしらないけども!
      一つでGoogleアカウントとかKeePassとかWindows起動時とか、他のセキュリティシステムで使えれば、1個買うだけでお手軽Yubikey記事がたくさんできるのも把握しております∩(・∀・∩

      今見たら、Amazonでちゃんと売っているみたいですね。
      本当はAmazonから買わせたくなかったんですけど、公式代理店(ソフト技研)がAmazonのリンクで買わせようとしてるみたいで、「ご購入はこちら」と書いておきながら見つからないという。
      PayPalあるけど日本は全然流行ってないという。これだったらAmazonリンクを置いても自然~

      最近「お金になる記事を書かないとお金にならない」というごく当たり前なことを学んだので、今書いてるセキュリティソフト系が終わったら、お金の匂いのする物理電子キー市場に参入してみます∩(・∀・∩
      ※Amazonしか紹介方法がないと思っていたので、後回しにした経緯があった(つまり調査不足)

      • ぷっぷ より:

        このサイト一番下にもロードマップのリンクを置いておきました!(個人サイトなのに)
        これにより、やりすぎセキュリティの掲載順位が丸見えー(*゚▽゚)
        yubikeyの優先度はここからどうぞ!