【問題】KeePassのクラウド同期、紛失したらどうなる?

パスワード管理ソフト

紛失時など、別の端末から急遽ログインする場合、KeePassのデータが手元にないなら「クラウドストレージへ取りにいかなければならない」。

ということは、クラウドのパスワードを覚えていなければならず、「覚えるパスワードは1つだけ」の条件が崩壊し、ログインできずに詰む。

そう、「KeePassをクラウド同期した場合」は、「1つだけ理論」が適用されていなかったのだ。

今後、このような「なんだかおかしいのに無視するような状態」にならないよう、戒めとして併用する対策方法を記し、促していく。

スポンサーリンク

無視された必要なパスワード

データベースとキーファイルを、別々のクラウドに置いている前提で進めていく。

特定の条件下で詰むおそれのあるケース」とは、「バックアップ方法をクラウドのみにした状態」かつ、

  • ノートパソコンを使用しているが、KeePassをスマホに搭載していない
  • そもそもスマホしかない

となっており、ザックリいうと「KeePassを使用している端末が1つしかない状態」のこと。

この状態で紛失・故障などの何らかの事情が起こると、KeePassがクラウドにしかないわけで、「使用したことのない端末」からKeePassにアクセスする前に、クラウドのパスワードを知らないので詰む。

こんな予測できたことを無視していては、いずれ絶望が押し寄せていたかもしれない。

そんなわけで、

  1. パスワード管理ソフトbitwarden(ビットウォーデン)の無料アカウントを作成
  2. bitwardenにKeePassデータベースとキーファイルの入っているクラウド情報を2つ以上登録
  3. キーファイルを暗号化ソフト(Boxcryptor)などで暗号化させているならそれらの情報も登録

という感じで進んでいき、最終的に「使用したことのない端末からのログインは、bitwardenでKeePassの置いてあるクラウドアカウント情報を取得してきて、KeePassにアクセスする」という状態を目指す。

クラウド暗号化ソフト「Boxcryptor」は、個人ならスマホアプリも無料なので大丈夫。だが、Cryptomatorのスマホアプリは有料なので、Cryptomator使用中なら悩もう。

【禁止】マスターパスワードの使い回し

使い回しは「一番ダメなもの」なので、KeePassとbitwardenを別々にすること。

ということで、最低パスワードは2つになってしまうが、そんなときはどちらかのパスワードを「極意化」させると良い。

【三種の極意】パスワードの付け方テクニック集
新たにパスワードを考えるのは疲れるし、パスワード管理ソフトでも「マスターパスワード」というものが最低1つ必要だ。この...

これからbitwardenのアカウントを作成するため、「bitwardenのマスターパスワードをKeePassとは違うものにする予定」の方は、無視して次に進もう

KeePassのマスターパスワードを変更したいなら、以下の記事を参照。

参照キーファイルを追加

「キーファイルを追加」となっているが、マスターパスワードを変更し、使用しているキーファイルをまた選択すると、マスターパスワードだけ変更することができる。

スポンサーリンク

bitwardenアカウントを作成

bitwarden(ビットウォーデン)である必要はないが、KeePassと同じオープンソースなので気に入ってもらえるはずだ。

使用したことのない端末からアクセスする場合、マスターパスワードの他にメールアドレス・設定中なら2段階認証コードが必須。詰まないことを最優先としているため、複雑なメアドは避け、頭の中で覚えているメアドを使おう。
ぷっぷ
ぷっぷ

自分が知らなくても、家族や友だちが知っているメアドなら安心だね!

自社クラウドではあるが、仮に侵入されてもKeePassはすぐに破られないし、クラウドには2段階認証が付いているので、バックアップコードを置いてさえいなければ防御力は高め。というより、今回はこの「クラウド」の利点を活かす。

なお、この記事は「使用したことのない端末からWebブラウザ版Bitwardenにアクセス」するのを想定しているため、拡張機能・デスクトップ版・アプリ版は不要。

あくまでbitwardenは、「緊急時用」という位置づけで使う。

【SSS】bitwardenのダウンロードと自動入力の使い方
KeePassと実力が拮抗している、オープンソースのパスワード管理ソフト「bitwarden」拡張機能・デスクトップアプリ・Webブラウザの使い方を紹介。

登録すべき情報

「クラウドストレージ」関係のパスワードを、bitwardenに登録していく。

さきほどと同じ記事だが、Webブラウザでログイン情報を登録部分を参考にし、登録してこよう。

DropboxやGoogle Driveといった情報、私のように暗号化ソフトを使用しているならその情報も登録だ。

Google DriveはGoogleアカウントでもあるため、割に合わないリスクがある。この欠点を回避するなら、データベースとキーファイルをDropboxやSyncなどの「クラウド専用サービスに移動」、またはコピーしておくことを勧める。

データベースとキーファイルを同じクラウドに入れていたり、新たにクラウド専用サービスを作成したいなら以下の記事を参考にしよう。

KeePassで使うクラウド同期おすすめストレージ3選
様々なクラウドを使えるが、AndroidやiOSでも使えるか確認するべきだ。この記事はDropbox・Google Drive・Syncの3つを紹介する。
上記記事ではスマホアプリで使用する目的上、3つしか紹介していないが、他にMEGAboxあたりがオススメ。MEGAは「3ヶ月以上放置すると削除される可能性」があるので注意。

次で詳しく説明するが、マスターパスワードとバックアップコードをbitwardenに保存するのは禁止。

【禁止】bitwardenにKeePassマスターパスワードを保存

bitwardenにログイン → コピペでKeePass入場といった、「bitwardenに入らないとKeePass使えませんよ状態」はやってはいけない。

なぜなら、この記事で作成したbitwardenには「KeePassデータベース」と「キーファイル」が所属するクラウドアカウント情報が集結しており、最後の砦のマスターパスワードを保存してしまうと、開ける状態になってしまう。

KeePassには意図的に負荷をかけられる強力なArgon2があるし、KeePassの方が強いと思っているので、KeePassはKeePassで防御させるべきだ。

一応、クラウド側の2段階認証があるので大丈夫だとは思うが、念のため禁止。

【禁止】bitwardenに各クラウドのバックアップコードを保存

仮にbitwardenに侵入されても、「クラウドに2段階認証を設定」していたら侵入できないため、この効果を使うならbitwardenにバックアップコードを保存してはいけない。

バックアップコードとは、2段階認証アプリの入った端末を紛失した際に、ログインできなくなってしまうのを防止するためのコードで、2段階認証の設定をリセット、または使い捨てのコードのこと。

オススメは各クラウド、暗号化ソフトのバックアップコードをメモしておき、財布の中にでも入れておこう。このコードにはアカウント情報がないので、これだけでは機能しないぞ。

シークレットキー(秘密鍵)と似ているため、勘違いして財布にしまわないように。シークレットキーは「ワンタイムパスワードのシステムを文字化させたもの」なので、他の端末で6桁のコードが確認できてしまいバックアップコードより激烈に取扱い注意

bitwarden自体にも2段階認証を設定できてしまうので、手元に2段階認証アプリがなければリカバリーコードで無効化しよう。

この記事をブックマークしても、使用したことのない端末に保存されているわけがないので、リカバリーコードと同様にURLも手書きで保存推奨。

ぷっぷ
ぷっぷ

「やりすぎセキュリティ リカバリーコード」って検索しても出るけど、このサイトがなくなってたら詰んじゃうよ!

さきほどのbitwarden記事にリカバリーコード利用方法が載っているので、一度見ておくといい。

スポンサーリンク

2段階認証情報をクラウドに保存

「2段階認証アプリの入った端末」を紛失したときのために、保険をかけておくのはありだ。

【S】一生使う前提の2段階認証アプリ「Authy」の使い方
機種変更の面倒さを思い出し、『実は問題のないクラウド管理』のAuthyにワンタイムパスワードを任せよう。

コメント