【問題】KeePassのクラウド同期、紛失したらどうなる?

パスワード管理ソフト
この記事は約6分で読めます。

紛失時など、別の端末から急遽ログインする場合、KeePassのデータが手元にないなら「クラウドストレージへ取りにいかなければならない」。

ということは、クラウドのパスワードを覚えていなければならず、「覚えるパスワードは1つだけ」の条件が崩壊し、ログインできずに詰む。

そう、「KeePassをクラウド同期した場合」は、「1つだけ理論」が適用されていなかったのだ。

今後、このような「なんだかおかしいのに無視するような状態」にならないよう、戒めとして併用する対策方法を記し、促していく。

スポンサーリンク

無視された必要なパスワード

データベースとキーファイルを、別々のクラウドに置いている前提で進めていく。

特定の条件下で詰むおそれのあるケース」とは、「バックアップ方法をクラウドのみにした状態」かつ、

  • ノートパソコンを使用しているが、KeePassをスマホに搭載していない
  • そもそもスマホしかない

となっており、ザックリいうと「KeePassを使用している端末が1つしかない状態」のこと。

この状態で紛失・故障などの何らかの事情が起こると、KeePassがクラウドにしかないわけで、「使用したことのない端末」からKeePassにアクセスする前に、クラウドのパスワードを知らないので詰む。

こんな予測できたことを無視していては、いずれ絶望が押し寄せていたかもしれない。

そんなわけで、

  1. パスワード管理ソフトbitwarden(ビットウォーデン)の無料アカウントを作成
  2. bitwardenにKeePassデータベースとキーファイルの入っているクラウド情報を2つ以上登録
  3. キーファイルを暗号化ソフト(Boxcryptor)などで暗号化させているならそれらの情報も登録

という感じで進んでいき、最終的に「使用したことのない端末からのログインは、bitwardenでKeePassの置いてあるクラウドアカウント情報を取得してきて、KeePassにアクセスする」という状態を目指す。

クラウド暗号化ソフト「Boxcryptor」は、個人ならスマホアプリも無料なので大丈夫。だが、Cryptomatorのスマホアプリは有料なので、Cryptomator使用中なら悩もう。

【禁止】マスターパスワードの使い回し

使い回しは「一番ダメなもの」なので、KeePassとbitwardenを別々にすること。

ということで、最低パスワードは2つになってしまうが、そんなときはどちらかのパスワードを「極意化」させると良い。

【三種の極意】パスワードの付け方テクニック集
新たにパスワードを考えるのは疲れるし、パスワード管理ソフトでも「マスターパスワード」というものが最低1つ必要だ。この...

これからbitwardenのアカウントを作成するため、「bitwardenのマスターパスワードをKeePassとは違うものにする予定」の方は、無視して次に進もう

KeePassのマスターパスワードを変更したいなら、以下の記事を参照。

参照キーファイルを追加

「キーファイルを追加」となっているが、マスターパスワードを変更し、使用しているキーファイルをまた選択すると、マスターパスワードだけ変更することができる。

スポンサーリンク

bitwardenアカウントを作成

bitwarden(ビットウォーデン)である必要はないが、KeePassと同じオープンソースなので気に入ってもらえるはずだ。

使用したことのない端末からアクセスする場合、マスターパスワードの他にメールアドレス・設定中なら2段階認証コードが必須。詰まないことを最優先としているため、複雑なメアドは避け、頭の中で覚えているメアドを使おう。
ぷっぷ
ぷっぷ

自分が知らなくても、家族や友だちが知っているメアドなら安心だね!

自社クラウドではあるが、仮に侵入されてもKeePassはすぐに破られないし、クラウドには2段階認証が付いているので、バックアップコードを置いてさえいなければ防御力は高め。というより、今回はこの「クラウド」の利点を活かす。

なお、この記事は「使用したことのない端末からWebブラウザ版Bitwardenにアクセス」するのを想定しているため、拡張機能・デスクトップ版・アプリ版は不要。

あくまでbitwardenは、「緊急時用」という位置づけで使う。

【SSS】bitwardenのダウンロードと自動入力の使い方
KeePassと実力が拮抗している、オープンソースのパスワード管理ソフト「bitwarden」拡張機能・デスクトップアプリ・Webブラウザの使い方を紹介。

登録すべき情報

「クラウドストレージ」関係のパスワードを、bitwardenに登録していく。

さきほどと同じ記事だが、Webブラウザでログイン情報を登録部分を参考にし、登録してこよう。

DropboxやGoogle Driveといった情報、私のように暗号化ソフトを使用しているならその情報も登録だ。

Google DriveはGoogleアカウントでもあるため、割に合わないリスクがある。この欠点を回避するなら、データベースとキーファイルをDropboxやSyncなどの「クラウド専用サービスに移動」、またはコピーしておくことを勧める。

データベースとキーファイルを同じクラウドに入れていたり、新たにクラウド専用サービスを作成したいなら以下の記事を参考にしよう。

KeePassで使うクラウド同期おすすめストレージ3選
様々なクラウドを使えるが、AndroidやiOSでも使えるか確認するべきだ。この記事はDropbox・Google Drive・Syncの3つを紹介する。
上記記事ではスマホアプリで使用する目的上、3つしか紹介していないが、他にMEGAboxあたりがオススメ。MEGAは「3ヶ月以上放置すると削除される可能性」があるので注意。

次で詳しく説明するが、マスターパスワードとバックアップコードをbitwardenに保存するのは禁止。

【禁止】bitwardenにKeePassマスターパスワードを保存

bitwardenにログイン → コピペでKeePass入場といった、「bitwardenに入らないとKeePass使えませんよ状態」はやってはいけない。

なぜなら、この記事で作成したbitwardenには「KeePassデータベース」と「キーファイル」が所属するクラウドアカウント情報が集結しており、最後の砦のマスターパスワードを保存してしまうと、開ける状態になってしまう。

KeePassには意図的に負荷をかけられる強力なArgon2があるし、KeePassの方が強いと思っているので、KeePassはKeePassで防御させるべきだ。

一応、クラウド側の2段階認証があるので大丈夫だとは思うが、念のため禁止。

【禁止】bitwardenに各クラウドのバックアップコードを保存

仮にbitwardenに侵入されても、「クラウドに2段階認証を設定」していたら侵入できないため、この効果を使うならbitwardenにバックアップコードを保存してはいけない。

バックアップコードとは、2段階認証アプリの入った端末を紛失した際に、ログインできなくなってしまうのを防止するためのコードで、2段階認証の設定をリセット、または使い捨てのコードのこと。

オススメは各クラウド、暗号化ソフトのバックアップコードをメモしておき、財布の中にでも入れておこう。このコードにはアカウント情報がないので、これだけでは機能しないぞ。

シークレットキー(秘密鍵)と似ているため、勘違いして財布にしまわないように。シークレットキーは「ワンタイムパスワードのシステムを文字化させたもの」なので、他の端末で6桁のコードが確認できてしまいバックアップコードより激烈に取扱い注意

bitwarden自体にも2段階認証を設定できてしまうので、手元に2段階認証アプリがなければリカバリーコードで無効化しよう。

この記事をブックマークしても、使用したことのない端末に保存されているわけがないので、リカバリーコードと同様にURLも手書きで保存推奨。

ぷっぷ
ぷっぷ

「やりすぎセキュリティ リカバリーコード」って検索しても出るけど、このサイトがなくなってたら詰んじゃうよ!

さきほどのbitwarden記事にリカバリーコード利用方法が載っているので、一度見ておくといい。

スポンサーリンク

2段階認証情報をクラウドに保存

「2段階認証アプリの入った端末」を紛失したときのために、保険をかけておくのはありだ。

【S】一生使う前提の2段階認証アプリ「Authy」の使い方
機種変更の面倒さを思い出し、『実は問題のないクラウド管理』のAuthyにワンタイムパスワードを任せよう。

コメント

  1. とろろ より:

    2ヶ月程前にクラウド関係の質問でお世話になりました。色々いじくっていたところ何でかできるようになりまして、引き続きこのサイトを参考に地道に進め、ほぼ完全体なKeePassになりました。
    素晴らしいぷっぷさんと記事に感謝しつつ、諸々の挨拶が遅れたことを謝罪します。

    さて、KeePassが完全体に近づくにつれじわじわ現れる不安がKeePassの情報が流出、消失した際に起こる絶望感です。
    素晴らしいパスワード管理ソフトだからこそ、流出した際には自分のすべてが白日の下に晒される恐怖、消失した際には一つもパスワードを覚えておらず(マスターパスワード以外)何にもログインできない恐怖が付いて回ります。
    これを払拭するためにもとりあえず自分の思いつくことを羅列し、認識が間違っていませんか?という質問(確認?)をしたいというのが主題であります。

    もちろんこの素晴らしいサイトの至るところにこの事に関する注意喚起、対策は示されていて、勉強になりました。
    ただこの手の不安は完全体所有者にはあるはずなので、一つの記事にするのもいいのではと思います(体の良い情報の催促)(´∀`*)

    まず前提として自分の場合はデスクトップパソコン一台、スマホ二台でのKeePass運用、パソコン用データベースをSync、スマホ用データベースをDropbox、キーファイルをそれぞれ別のGoogle Driveと同期しています。他にバックアップはDVDや外付けHDD等2、3個あり。
    KeePassのみに限った不安対策なので盗難されたら警察に届けて…等の話はナシです。
    では羅列します。(以後KeePassはKPと略します。)

    ・PC盗難
    まず盗まれないために自衛は当然必要。データベース・キーファイルは揃っているため残りはマスターパスワードのみ。最終防壁はArgon2。宇宙推定寿命まで解読させない(未来の超技術はとりあえず考慮しない場合。1回あたり何秒の負荷時間が必要かは要確認)とのことなので侵入はされないだろうと考えていいのだろうか。
    スマホのKPからクラウド情報取得。その情報で別のPCからKPへログイン。マスターパスワード、キーファイル変更してあとはそのまま使ってOK?

    ・PCデータ消失、故障
    スマホのKPからクラウド情報取得、復帰。

    ・スマホ盗難
    PC盗難に同じ。Argon2に期待。それ以前に遠隔でデータ消去を最優先(できると心に決めた人)。PCのKPから得た情報でスマホ版KP復帰。

    ・スマホデータ消失、故障
    PCのKPからクラウド情報取得、復帰。

    ・PCウィルス感染
    自衛は当然必要。盗まれるものはデータベース、キーファイル。よってPC盗難と同じと見ていいのか?Argon2に期待。ウィルス駆除またはデータ初期化のちスマホからクラウド情報取得、復帰。

    ・クラウド不正アクセス
    データベース、キーファイルは別々のクラウドのためKPには侵入できない。

    ・クラウド同時不正アクセス
    ほぼないだろうがデータベース、キーファイルそれぞれのクラウドに同時に不正アクセスされて、かつその2つを結び付けられても例のごとくマスターパスワードは分からないのでPC盗難と同じ流れでOK?

    ・KeePass、もしくはクラウドサービス終了
    ひぃいいいい→引越し先を決める。

    ・クラウドサーバ元火事、データ消失、世界大戦
    ローカルには残っているためデータは大丈夫。引越し先検討。

    ・パソコン、スマホ、バックアップすべて火事で燃え尽きる
    この場合は詰み…かな。
    二つの場所にデータベースの入ったクラウド情報と、キーファイルのバックアップをそれぞれ預けるのは駄目ですかね。
    二つの倉庫サービスを使うとか、二人に一つずつ預けるとか…(預ける人の信頼度はここでは無視する)。
    どちらか一つが盗まれたとしても、データベースのみ、キーファイルのみじゃどうしようもないし…。

    あとはキーファイル消失とマスターパスワード失念は完全に詰みといったところですかね。
    他にもあるかな…?
    こんな感じで認識としては合っているでしょうか。
    KeePassすごいなぁと思わされる次第であります。

    ちなみにPCとスマホでデータベースの登録情報を分けていますが、PCに何かあったときにスマホから復帰できるようにクラウドの登録情報はスマホにも入れてあるのですが、これは結局スマホが破られた時点でPCのデータベースもバレるのと同じことになるので分けても分けなくても安全度は変わらないということはないのでしょうか。
    時間稼ぎにはなるでしょうが…。

    長文申し訳ありません。
    お時間のあるときに回答頂ければありがたいです。
    よろしくおねがいします。

タイトルとURLをコピーしました