【問題】KeePassのクラウド同期、紛失したらどうなる?

紛失時など、別の端末から急遽ログインする場合、KeePassのデータが手元にないなら「クラウドストレージへ取りにいかなければならない」。

ということは、クラウドのパスワードを覚えていなければならず、「覚えるパスワードは1つだけ」の条件が崩壊し、ログインできずに詰む。

そう、「KeePassをクラウド同期した場合」は、「1つだけ理論」が適用されていなかったのだ。

今後、このような「なんだかおかしいのに無視するような状態」にならないよう、戒めとして併用する対策方法を記し、促していく。

スポンサーリンク

無視された必要なパスワード

データベースとキーファイルを、別々のクラウドに置いている前提で進めていく。

特定の条件下で詰むおそれのあるケース」とは、「バックアップ方法をクラウドのみにした状態」かつ、

  • ノートパソコンを使用しているが、KeePassをスマホに搭載していない
  • そもそもスマホしかない

となっており、ザックリいうと「KeePassを使用している端末が1つしかない状態」のこと。

この状態で紛失・故障などの何らかの事情が起こると、KeePassがクラウドにしかないわけで、「使用したことのない端末」からKeePassにアクセスする前に、クラウドのパスワードを知らないので詰む。

こんな予測できたことを無視していては、いずれ絶望が押し寄せていたかもしれない。

そんなわけで、

  1. パスワード管理ソフトbitwarden(ビットウォーデン)の無料アカウントを作成
  2. bitwardenにKeePassデータベースとキーファイルの入っているクラウド情報を2つ以上登録
  3. キーファイルを暗号化ソフト(Boxcryptor)などで暗号化させているならそれらの情報も登録

という感じで進んでいき、最終的に「使用したことのない端末からのログインは、bitwardenでKeePassの置いてあるクラウドアカウント情報を取得してきて、KeePassにアクセスする」という状態を目指す。

クラウド暗号化ソフト「Boxcryptor」は、個人ならスマホアプリも無料なので大丈夫。だが、Cryptomatorのスマホアプリは有料なので、Cryptomator使用中なら悩もう。

【禁止】マスターパスワードの使い回し

使い回しは「一番ダメなもの」なので、KeePassとbitwardenを別々にすること。

ということで、最低パスワードは2つになってしまうが、そんなときはどちらかのパスワードを「極意化」させると良い。

【三種の極意】パスワードの付け方テクニック集

これからbitwardenのアカウントを作成するため、「bitwardenのマスターパスワードをKeePassとは違うものにする予定」の方は、無視して次に進もう

KeePassのマスターパスワードを変更したいなら、以下の記事を参照。

参照キーファイルを追加

「キーファイルを追加」となっているが、マスターパスワードを変更し、使用しているキーファイルをまた選択すると、マスターパスワードだけ変更することができる。

スポンサーリンク

bitwardenアカウントを作成

bitwarden(ビットウォーデン)である必要はないが、KeePassと同じオープンソースなので気に入ってもらえるはずだ。

ここでは、パスワード管理ソフトとしてサービスをしているBitwardenをバックアップとして使っているが、別に他の場所、例えばクラウドにKDBXファイルをぶち込むだけでも同じことが可能。

※この方法はおうどんさんにコメント欄で提供された情報である。

使用したことのない端末からアクセスする場合、マスターパスワードの他にメールアドレス・設定中なら2段階認証コードが必須。詰まないことを最優先としているため、複雑なメアドは避け、頭の中で覚えているメアドを使おう。
ぷっぷ
ぷっぷ

自分が知らなくても、家族や友だちが知っているメアドなら安心だね!

自社クラウドではあるが、仮に侵入されてもKeePassはすぐに破られないし、クラウドには2段階認証が付いているので、バックアップコードを置いてさえいなければ防御力は高め。というより、今回はこの「クラウド」の利点を活かす。

なお、この記事は「使用したことのない端末からWebブラウザ版Bitwardenにアクセス」するのを想定しているため、拡張機能・デスクトップ版・アプリ版は不要。

あくまでbitwardenは、「緊急時用」という位置づけで使う。

【SSS】Bitwardenのダウンロードと自動入力の使い方

登録すべき情報

「クラウドストレージ」関係のパスワードを、bitwardenに登録していく。

さきほどと同じ記事だが、Webブラウザでログイン情報を登録部分を参考にし、登録してこよう。

DropboxやGoogle Driveといった情報、私のように暗号化ソフトを使用しているならその情報も登録だ。

Google DriveはGoogleアカウントでもあるため、割に合わないリスクがある。この欠点を回避するなら、データベースとキーファイルをDropboxやSyncなどの「クラウド専用サービスに移動」、またはコピーしておくことを勧める。

データベースとキーファイルを同じクラウドに入れていたり、新たにクラウド専用サービスを作成したいなら以下の記事を参考にしよう。

KeePassで使うクラウド同期おすすめストレージ3選
上記記事ではスマホアプリで使用する目的上、3つしか紹介していないが、他にMEGAboxあたりがオススメ。MEGAは「3ヶ月以上放置すると削除される可能性」があるので注意。

次で詳しく説明するが、マスターパスワードとバックアップコードをbitwardenに保存するのは禁止。

【禁止】bitwardenにKeePassマスターパスワードを保存

bitwardenにログイン → コピペでKeePass入場といった、「bitwardenに入らないとKeePass使えませんよ状態」はやってはいけない。

なぜなら、この記事で作成したbitwardenには「KeePassデータベース」と「キーファイル」が所属するクラウドアカウント情報が集結しており、最後の砦のマスターパスワードを保存してしまうと、開ける状態になってしまう。

KeePassには意図的に負荷をかけられる強力なArgon2があるし、KeePassの方が強いと思っているので、KeePassはKeePassで防御させるべきだ。

一応、クラウド側の2段階認証があるので大丈夫だとは思うが、念のため禁止。

【禁止】bitwardenに各クラウドのバックアップコードを保存

仮にbitwardenに侵入されても、「クラウドに2段階認証を設定」していたら侵入できないため、この効果を使うならbitwardenにバックアップコードを保存してはいけない。

バックアップコードとは、2段階認証アプリの入った端末を紛失した際に、ログインできなくなってしまうのを防止するためのコードで、2段階認証の設定をリセット、または使い捨てのコードのこと。

オススメは各クラウド、暗号化ソフトのバックアップコードをメモしておき、財布の中にでも入れておこう。このコードにはアカウント情報がないので、これだけでは機能しないぞ。

シークレットキー(秘密鍵)と似ているため、勘違いして財布にしまわないように。シークレットキーは「ワンタイムパスワードのシステムを文字化させたもの」なので、他の端末で6桁のコードが確認できてしまいバックアップコードより激烈に取扱い注意

bitwarden自体にも2段階認証を設定できてしまうので、手元に2段階認証アプリがなければリカバリーコードで無効化しよう。

この記事をブックマークしても、使用したことのない端末に保存されているわけがないので、リカバリーコードと同様にURLも手書きで保存推奨。

ぷっぷ
ぷっぷ

「やりすぎセキュリティ リカバリーコード」って検索しても出るけど、このサイトがなくなってたら詰んじゃうよ!

さきほどのbitwarden記事にリカバリーコード利用方法が載っているので、一度見ておくといい。

スポンサーリンク

2段階認証情報をクラウドに保存

「2段階認証アプリの入った端末」を紛失したときのために、保険をかけておくのはありだ。

【S】一生使う前提の2段階認証アプリ「Authy」の使い方

コメント

  1. おうどん より:

    はじめまして、数日前からYoutubeのごとくこのサイトを読みまくってる者です。わかり易さと信頼感が両立されてて安心して読めます(それでもしょっちゅう頭がパンクしそうになりますが…)。
    初心者ながら図々しい質問をいたしますがご容赦ください。

    この記事においてbitwardenを使う理由って、要は「クラウドストレージに取りに行くときにパスワード覚えてないと詰む」からですよね。
    でもそれだったら、クラウドにkdbxファイルをしまっておくだけでもいいのではないですか?
    いつも使っているのとは別に、一つのkdbxファイルに各クラウドなどの重要情報を入れておいて、それをクラウドにしまう。
    そんでそれのマスターパスワードとクラウドのパスワード(+αでAuthyとかのパスワードも?)を覚えておいて、取りにいけるようにする。
    自分の場合はsyncでこれをやっているのですが、これってbitwardenに保存するのといい勝負なんじゃないでしょうか。
    優点:
    ・クラウドのパスワードとkeepassのマスターパスワードで重要情報を二重防御できる。
    ・(syncの場合)零知識証明などの高セキュリティの恩恵を受けられる。
    劣点
    ・クラウドストレージサービスは大抵オープンソースではない。
    ・覚えるパスワードを2つまでとすると重要情報を入れたkdbxファイルはキーファイルなし、かついつも使っているkdbxファイルのパスワードを入れておくことになる。

    どうでしょう?

    • ぷっぷ より:

      信頼感ですか。
      あれ……おかしいですね、一部からはド素人がやってると叩かれtオラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
      ※元々わかりやすくKeePassの紹介情報がいつまで経っても出現しないから、私が作った経緯がありまーす。

      この記事においてbitwardenを使う理由って、要は「クラウドストレージに取りに行くときにパスワード覚えてないと詰む」からですよね。

      この記事頭痛いよう(´ε`;)
      単純にややこしい部分がどう頑張っても消えないので、Bitwardenでも十分セキュリティが高いですし、KeePass縛りにする必要はないですよの記事だったような……(うろ覚え)。
      ただでさえAuthyのバックアップパスワードでさらにややこしくなってるという。

      でもそれだったら、クラウドにkdbxファイルをしまっておくだけでもいいのではないですか?
      いつも使っているのとは別に、一つのkdbxファイルに各クラウドなどの重要情報を入れておいて、それをクラウドにしまう。

      ここでいうクラウドをわかりやすくDropboxってことにしますが、

      • KeePassはいつも使っているスマホしかない:そして紛失
      • でも、念の為別のDropboxアカウントにKDBXのバックアップをとっておいた

      ということですか?
      これだとDropboxのアカウント情報をまず覚えていないので、詰んでしまいます。
      そのクラウドの情報を別の方法でバックアップすればもちろんOKです。
      また、「Syncにそのままkdbxをおいてバックアップ」として私は使っているわけですが、その場合もSyncの情報を覚えていないので詰みですね(もちろん対策はしてる、というか本来はこれと手元のUSBメモリが理想なような)。
      なーんか私が理解できていないかもしれませんが、そんな感じです( Ꙭ)
      今からこの記事を見てみると、書いておきながら自己責任感を割と出してますね……
      かなり頭使うので、そこの詳細は各自に任せたいのが本音です
      ああ、頭いたし ぷっぷ

      • おうどん より:

        ご丁寧な返信ありがとうございます・・・ですがちょっと言いたいことをうまく伝えられなかったようです。

        自分が言いたいことをめちゃくちゃ砕けて書くと、
        「どのみちkeepassとbitwardenでパスワード2つ覚えるんでしょ?じゃあクラウドに保存しとくだけでも結局パスワード2つだから変わらなくない?
        と思ったけど微妙に違う点があるから、そこんとこどうなんだろ。」
        こんな感じです。変に丁寧に書いて伝わりにくくなるのも考えものですね、、

        • ぷっぷ より:

          この記事はBitwardenに情報登録してるの忘れてました(´ε`;)
          ※「KeePassがややこしいならBitwardenに締め出された時用の情報を登録ですよ記事」だと勘違い。

          確かにどっちでも良いですね、ちょっと今日はサーバーダウンの不安定なので、明日「クラウドでも同じことができるよ」と、おうどんさん提供情報を追記したいと思います!

  2. gonve より:

    初めまして、HDDの暗号化について興味をもって色々調べていくうちにブラウザに溜めてる一部のパスワードを管理ソフトに移し導入しようと思い、クラウドに繋がないKeePassを調べこのサイトにたどり着きました。
    KeePassのインストール方法もわかりやすく、ほかの記事を見てあまり詳しくなかったセキュリティやgoogle以外の二段階認証アプリの存在を知ったりと助かっています。
    そして見ていくうちにパスワードの保存機器が全滅した時を考えバックアップも兼ねてやっぱりクラウドにも上げておこうと思いました。

    ここを見ながらバックアップを取るにあたり、紙だと無くしそうな二段階認証関係のバックアップコードも失くさないように本パスワードとは別の管理ソフトなりクラウドにいれてネットに上げておきたいのですが、
    このページの通りそれとkeepassへ繋げる用のbitwardenを繋げてしまうと通れるようになってしまう為悩んでいます。
    ローカルのみだと火事などで認証アプリ入りスマホや機器が一気に紛失した時に二段階認証を突破できなくなることも起こるかも…と考えてしまいます。
    何かいい解決方法があれば教えていただけると助かります。

    • ぷっぷ より:

      この記事本当頭がパンクしそう! _(꒪ཀ꒪」∠)_

      KeePassのインストール方法もわかりやすく、ほかの記事を見てあまり詳しくなかったセキュリティやgoogle以外の二段階認証アプリの存在を知ったりと助かっています。

      ありがとうございます、やりすぎセキュリティの目的がドンピシャでヒットしていてとてもうれしいです!

      紙だと無くしそうな二段階認証関係のバックアップコードも失くさないように本パスワードとは別の管理ソフトなりクラウドにいれてネットに上げておきたいのですが、
      このページの通りそれとkeepassへ繋げる用のbitwardenを繋げてしまうと通れるようになってしまう為悩んでいます。
      ローカルのみだと火事などで認証アプリ入りスマホや機器が一気に紛失した時に二段階認証を突破できなくなることも起こるかも…と考えてしまいます。

      この記事を書いた当時も、今考えてみた現在も「紙に書いて所持」以外の方法がまるで浮かびません(´ε`;)
      ……
      と思いましたが、バックアップコード専用の無料クラウド型パスワード管理ソフトを作成すればイケそうな気がします!?
      まさかLastPassを使う日が来るのかな……。
      この記事のとおりbitwardenがバックアップ用(2段階認証設定済み)、KeePassはメインだとすると、LastPassに2段階認証のバックアップコードのみを入れて、2段階認証設定をあえてしない状態で保存
      バックアップコードだけが漏れたところで2段階認証しか無効化できず、パスワードを知らないのでログインはできないし、LastPassで不正アクセス騒ぎが正式発表されたら面倒ですが変更すればOK。
      この時bitwardenとLastPassのマスターパスワードは同じでOK。
      LastPassに侵入されても、bitwardenの2段階認証が仕事をします。この2段階認証頼みになってますが、最低限セキュリティは担保されているかつ災害大国Japanにも対応できるのでアリよりのアリだと思います。
      頭がパンクするーー_(꒪ཀ꒪」∠)_(2回目)
      なお、上記の場合はLastPassに「bitwardenのリカバリーコード」を入れてしまうとbitwardenに侵入されるので禁止ですね。
      抜けがあったら指摘してください! これは記事書き直しの予感(頭がパンクするからできるだけしたくない)

      • gonve より:

        返信ありがとうございます。
        コードだけなら漏れてもそこまで危険ではなさそう?、シークレットコードとかも一緒にいれていいのでしょうか。

        問題?としてはこちらも二段階アプリを紛失するとbitwardenの二段階認証を突破できなさそうな所でしょうか、こればかりはbitwardenのコードだけでも紙やUSBに入れるなりしないと駄目なのかな…
        後はauthyもクラウドなので3つ目のパスワードとして覚えればいけるかもと思いましたが、まだauthyの仕様をよく知らないのでパスワードとかだけでは入られないかも…。

        • ぷっぷ より:
          • バックアップコードは「流出してもパスワードが仕事をする」という条件残留
          • バックアップコードを使われると2段階認証が解除されるので気づく
          • シークレットコード(キー)も「流出してもパスワードが仕事をする」という条件が残留
          • ただし、シークレットコードは2段階認証登録時を文字化したものであり、悪い人はそれを自分の2段階認証アプリにシークレットコードを登録 → いつでも2段階認証の6桁コードを確認できてしまう
          • これにより、「2段階認証がすでに突破されているパスワード入手待ちリーチ」となり、しかもこちらから流出しているかどうかわからないので、2段階認証を新たに設定しようとも思わない状態が続く

          いれるのはバックアップコードのみで、シークレットコードはヤメておいた方が無難です。
          もちろんパスワードが仕事をするので「2段階認証を使う人と同じ状態」なのはそうなのですが、パスワード管理ソフトは結構ガチ目で怯えるべきなので。

          問題?としてはこちらも二段階アプリを紛失するとbitwardenの二段階認証を突破できなさそうな所でしょうか、こればかりはbitwardenのコードだけでも紙やUSBに入れるなりしないと駄目なのかな…

          ソウダッター(°д°) 自分で「bitwardenのリカバリーコードだけはLastPassに入れちゃうのは駄目」って言ってたんでした。
          bitwardenだけ紙に保持じゃほとんど意味なーい…… この作戦は二流でしたごめんなさい……。
          えーじゃあ……(゚~゚o)ウゥーン えー?

          _人人人人人_
          > 詰んだ <
           ̄Y^Y^Y^Y^Y^ ̄

          authyもクラウドなので3つ目のパスワードとして覚えればいけるかもと思いましたが、まだauthyの仕様をよく知らないのでパスワードとかだけでは入られないかも…。

          Authyをスマホ乗り換えた時の表示どうだったかなー。Authyの記事ちょっと古いんで、ちょっと表示とか変わっちゃってるんですよね。
          もし普通に問題ない状態なら(2段階認証アプリの入ったスマホ紛失状態の例)

          • Authyに電話番号とバックアップパスワードで新しいスマホからアクセス
          • bitwardenの2段階認証が入るのでそれでいける
          • Authyのパスワードとbitwardenのマスターパスワードが一緒なのは駄目

          かも? なんだかLastPassを使う作戦を書いたあとだと、「普通にこれでいいじゃん」感がスゴイくらい完璧に見える(´ε`;)
          パスワードがどのタイミングで要求されるのかAuthyわかりづらいのが難点。

  3. とろろ より:

    丁寧な回答に感謝感激です。
    大方認識に間違いはなかったようで一安心しました。

    >>KeePassがやっている事は厳密に言うと「超絶時間稼ぎツール」です。
    なるほど。言い得て妙ですね。
    時間稼ぎをする能力は抜群で、すべてのアカウント情報を変更する時間は十分に稼げそうです。
    未来技術でゴリ押しされる頃にはもぬけの殻というわけですね。

    >>パソコン用データベースのクラウドから復元するだけかな?
    説明不足で申し訳ないです。そういうことです。スマホにパソコン用データベースのクラウド(Sync)情報、パソコン用キーファイルのクラウド(Google Drive)情報を入れておいて、その情報を頼りに別のPC等から復元・ログインすればOK…ですよね?

    スマホ盗難については基本的には、盗まれる→遠隔データ削除→ >>私は現時点でスマホ用にもクラウドのアカウントが記入されているので、ちゃちゃっとクラウドの情報を変更して、そのあとにモバイル用と分けているので少ないアカウントのパスワードを変更して終わらせると思います。
    その際はクラウドにログインした履歴があるはずですし、そこを見て問題なければ大丈夫でしょう
    この流れが最善そうですよね。これでスマホが盗まれてもPCのKeePass情報まで守れそうです。

    YubiKeyてナニコレすごい!これなら2段階認証仕掛けたアカウントはスマホ盗まれてKeePass情報盗まれてもログインできないわけですか。欲しい。そこそこお高い。

    もう一つすみません。スマホの指紋認証についてですが、別の記事で >>指紋認証を突破されたらその指紋情報を所持しているというわけで、違う指でない限りアプリの指紋認証が役に立たない
    とありましたが、まさにその通りなので指を分けようと思ったのですがそのような設定ができないんですよねぇ。
    複数の指紋を登録はできますが、分けるというより登録した指紋ならどれを使っても認証できますよといった機能で、人差し指でロック画面解除、中指でKeePassを解除といった使い分けができません。
    アプリ等で探してみたのですがなかなか見つからず…何かご存知ですか?

    >>よくよく考えると「パスワード管理ソフトの安全性」を述べる記事がまさにそれで大人気、トップ5もソフト説明じゃなくて不安払拭系ばっかりですね……。みんな悩んでる!
    不安煽り系、不安払拭系は需要があるような印象がありますね。
    KeePassの記事も不安煽りと不安払拭を同時にやっているようなものですし。
    完全に個人的な所見で統計は持ち合わせていませんがヽ(´∀`*)ノ
    新しい記事楽しみにしています。

    • ぷっぷ より:

      YubiKeyは他のコメント欄でも求められた&現在お金稼ぎ強めの記事連続で書いているので、セキュリティソフト関係が終わったら次はyubikeyの予定ですのでお待ち下さい∩(・∀・∩
      参考やりすぎロードマップ

      指紋認証ですが、私は現在貧乏ですので、そのような機能が付いたテクノロジー商品を持っておらず、「もしできるのであれば挑戦してみて!」という意味合いで適当に書いただけです(゚´Д`゚)゚。
      実際にあるのかどうかも確認していませんので、なかったらドンマイでお願いします!

  4. とろろ より:

    2ヶ月程前にクラウド関係の質問でお世話になりました。色々いじくっていたところ何でかできるようになりまして、引き続きこのサイトを参考に地道に進め、ほぼ完全体なKeePassになりました。
    素晴らしいぷっぷさんと記事に感謝しつつ、諸々の挨拶が遅れたことを謝罪します。

    さて、KeePassが完全体に近づくにつれじわじわ現れる不安がKeePassの情報が流出、消失した際に起こる絶望感です。
    素晴らしいパスワード管理ソフトだからこそ、流出した際には自分のすべてが白日の下に晒される恐怖、消失した際には一つもパスワードを覚えておらず(マスターパスワード以外)何にもログインできない恐怖が付いて回ります。
    これを払拭するためにもとりあえず自分の思いつくことを羅列し、認識が間違っていませんか?という質問(確認?)をしたいというのが主題であります。

    もちろんこの素晴らしいサイトの至るところにこの事に関する注意喚起、対策は示されていて、勉強になりました。
    ただこの手の不安は完全体所有者にはあるはずなので、一つの記事にするのもいいのではと思います(体の良い情報の催促)(´∀`*)

    まず前提として自分の場合はデスクトップパソコン一台、スマホ二台でのKeePass運用、パソコン用データベースをSync、スマホ用データベースをDropbox、キーファイルをそれぞれ別のGoogle Driveと同期しています。他にバックアップはDVDや外付けHDD等2、3個あり。
    KeePassのみに限った不安対策なので盗難されたら警察に届けて…等の話はナシです。
    では羅列します。(以後KeePassはKPと略します。)

    ・PC盗難
    まず盗まれないために自衛は当然必要。データベース・キーファイルは揃っているため残りはマスターパスワードのみ。最終防壁はArgon2。宇宙推定寿命まで解読させない(未来の超技術はとりあえず考慮しない場合。1回あたり何秒の負荷時間が必要かは要確認)とのことなので侵入はされないだろうと考えていいのだろうか。
    スマホのKPからクラウド情報取得。その情報で別のPCからKPへログイン。マスターパスワード、キーファイル変更してあとはそのまま使ってOK?

    ・PCデータ消失、故障
    スマホのKPからクラウド情報取得、復帰。

    ・スマホ盗難
    PC盗難に同じ。Argon2に期待。それ以前に遠隔でデータ消去を最優先(できると心に決めた人)。PCのKPから得た情報でスマホ版KP復帰。

    ・スマホデータ消失、故障
    PCのKPからクラウド情報取得、復帰。

    ・PCウィルス感染
    自衛は当然必要。盗まれるものはデータベース、キーファイル。よってPC盗難と同じと見ていいのか?Argon2に期待。ウィルス駆除またはデータ初期化のちスマホからクラウド情報取得、復帰。

    ・クラウド不正アクセス
    データベース、キーファイルは別々のクラウドのためKPには侵入できない。

    ・クラウド同時不正アクセス
    ほぼないだろうがデータベース、キーファイルそれぞれのクラウドに同時に不正アクセスされて、かつその2つを結び付けられても例のごとくマスターパスワードは分からないのでPC盗難と同じ流れでOK?

    ・KeePass、もしくはクラウドサービス終了
    ひぃいいいい→引越し先を決める。

    ・クラウドサーバ元火事、データ消失、世界大戦
    ローカルには残っているためデータは大丈夫。引越し先検討。

    ・パソコン、スマホ、バックアップすべて火事で燃え尽きる
    この場合は詰み…かな。
    二つの場所にデータベースの入ったクラウド情報と、キーファイルのバックアップをそれぞれ預けるのは駄目ですかね。
    二つの倉庫サービスを使うとか、二人に一つずつ預けるとか…(預ける人の信頼度はここでは無視する)。
    どちらか一つが盗まれたとしても、データベースのみ、キーファイルのみじゃどうしようもないし…。

    あとはキーファイル消失とマスターパスワード失念は完全に詰みといったところですかね。
    他にもあるかな…?
    こんな感じで認識としては合っているでしょうか。
    KeePassすごいなぁと思わされる次第であります。

    ちなみにPCとスマホでデータベースの登録情報を分けていますが、PCに何かあったときにスマホから復帰できるようにクラウドの登録情報はスマホにも入れてあるのですが、これは結局スマホが破られた時点でPCのデータベースもバレるのと同じことになるので分けても分けなくても安全度は変わらないということはないのでしょうか。
    時間稼ぎにはなるでしょうが…。

    長文申し訳ありません。
    お時間のあるときに回答頂ければありがたいです。
    よろしくおねがいします。

    • ぷっぷ より:

      素晴らしいサイトの運営者ぷっぷです。お久しぶりー( ・ω・)/
      おそらく「安心感」のセカンドオピニオンが欲しいかと思いますが、やっぱり完全な安全は存在しないようで、妥協からは逃れられないようです……。
      ・PC盗難

      宇宙推定寿命まで解読させない(未来の超技術はとりあえず考慮しない場合。1回あたり何秒の負荷時間が必要かは要確認)とのことなので侵入はされないだろうと考えていいのだろうか。

      宇宙推定寿命は現時点での技術前提なので、「その技術であれば侵入されにくい」のほうが妥当ってだけで、「侵入されない」とはやっぱ言えないかも。ただ、かぎりなく安全ってだけですね……。
      この点はかなり都合の良い印象を意図的に使っています。これはパスワード管理ソフトを何もわからず導入させるためであり、ハードルを下げる目的で使用。
      ただ、世間的に見るとArgon2はやりすぎの部類なので、他の人より知ってる人の方が有利なのは確かです。
      実際このサイトでArgon2を紹介しようとしたとき、まともに紹介しているの海外くらいでしたし。

      スマホのKPからクラウド情報取得。その情報で別のPCからKPへログイン。マスターパスワード、キーファイル変更してあとはそのまま使ってOK?

      基本的に盗まれてそのデータベースを未来まで保存された際、未来技術でゴリ押しされると詰みです(゚´Д`゚)゚。
      つまり、マスターパスワードとキーファイルを変更したところで「すでに入手されたKeePassのファイルはすべて旧のまま」であり、それは「中のデータはそのまま」であるため、未来に解読された際に中のアカウントデータをそのままにされると、時間差で侵入されると思います。
      ということで、KeePassがやっている事は厳密に言うと「超絶時間稼ぎツール」です。
      この状態から逃れるには、盗まれたことが発覚次第「すべてのアカウント情報を変更しろ」となり、やっていることが通常の漏洩と同じ状態になりますが、時間の猶予を考えれば超絶有利です。
      というわけで、当サイト的には「パスワード管理ソフトを何でもいいから導入して!巡り巡って色んな人を巻き込むから!」ということで、大々的にこのことに付いて述べていません。

      ・PCデータ消失、故障
      スマホのKPからクラウド情報取得、復帰

      スマホのKeePassから復帰させちゃうと、パソコンとモバイル用KeePassと分けている場合パソコンのKeePassデータがないような気がするのですが、それですとすでに復旧できないような気がします。
      それだとおかしいので、パソコン用データベースのクラウドから復元するだけかな?

      ・スマホ盗難
      PC盗難に同じ。Argon2に期待。それ以前に遠隔でデータ消去を最優先(できると心に決めた人)。PCのKPから得た情報でスマホ版KP復帰。

      ・スマホデータ消失、故障
      PCのKPからクラウド情報取得、復帰。

      この辺も先ほど述べた感じで、結局は変更する状態になる……んですが、そうなると思ってやりすぎセキュリティではモバイル用の中身を選別するようアシストしているので、それに従っているとろろさんは最小限の変更で済むはずです!
      スマホは紛失の可能性激高ですからね!本当この点はもうちょっと評価されていいと思うんですけど、この業界人気ないんで不発という……。
      理由は簡単、ややこしいから!

      ・PCウィルス感染
      自衛は当然必要。盗まれるものはデータベース、キーファイル。よってPC盗難と同じと見ていいのか?Argon2に期待。ウィルス駆除またはデータ初期化のちスマホからクラウド情報取得、復帰。

      キーロガー(入力した文字外部送信)をされると確かだめだったような。この辺は普通のソフトと同じ対応ですね。
      スパイウェアなどがどういった動きをするかわかりませんが、とりあえずPC盗難よりかはまだマシな印象があります(発覚しても一部サービスだけ?・盗難だと全部判定にせざるを得ない)。
      すべてをごっそり盗まれるウイルスの存在とかはちょっと聞いたことがないので、それはよくわかりません。

      ・クラウド不正アクセス
      データベース、キーファイルは別々のクラウドのためKPには侵入できない。

      ・クラウド同時不正アクセス
      ほぼないだろうがデータベース、キーファイルそれぞれのクラウドに同時に不正アクセスされて、かつその2つを結び付けられても例のごとくマスターパスワードは分からないのでPC盗難と同じ流れでOK?

      そうです。
      こう見ると、私達ってやりすぎてますね……。
      キーファイル適用だけでも現時点でかなりのセキュリティ層なのに、この視点だとちょっと恐ろしく見えますね。実際恐ろしいけどもちゃんと対策はしている部類だし、う~ん(´ε`;)
      かといってオフライン運用は不便ですし、トレードオフって難しい。

      ・KeePass、もしくはクラウドサービス終了
      ひぃいいいい→引越し先を決める。

      やはり開発者の死が一番現実的に私達の時代でありえる話なので、そこですよね~
      オープンソースなのでKeePassXC辺りが開発引き継ぎとかしてくれればいいんですが…… まぁ誰かするでしょう(楽観)
      クラウドの引っ越しはアカウントを他に作成してデータベースかキーファイルを移動 → ぶち込むだけなので余裕!

      ・クラウドサーバ元火事、データ消失、世界大戦
      ローカルには残っているためデータは大丈夫。引越し先検討。

      です! 核シェルターを早く買える財力を築けるよう、頑張っています∩(・∀・∩

      ・パソコン、スマホ、バックアップすべて火事で燃え尽きる
      この場合は詰み…かな。
      二つの場所にデータベースの入ったクラウド情報と、キーファイルのバックアップをそれぞれ預けるのは駄目ですかね。
      二つの倉庫サービスを使うとか、二人に一つずつ預けるとか…(預ける人の信頼度はここでは無視する)。
      どちらか一つが盗まれたとしても、データベースのみ、キーファイルのみじゃどうしようもないし…。

      サマリーポケットとかの倉庫サービス、安いけどお金かかるからなぁ~(´ε`;)
      最近のデジタル遺産の事情も、よく他の場所へ物理的に分散とか紹介していますが、なんか微妙なんですよね。
      KeePassでここまで分散しておいて他人がアクセスできる環境を残す、デジタル遺産ならば死んだ後に家族が容易にアクセスできる状況を作るということがちょっと矛盾している気がするので、やりたくないんですよね。
      ここは諦めで!

      という感じで、大体認識あっていると思います∩(・∀・∩

      ちなみにPCとスマホでデータベースの登録情報を分けていますが、PCに何かあったときにスマホから復帰できるようにクラウドの登録情報はスマホにも入れてあるのですが、これは結局スマホが破られた時点でPCのデータベースもバレるのと同じことになるので分けても分けなくても安全度は変わらないということはないのでしょうか。

      そういえばそうだ(´ε`;)

      となると、スマホに入れていたKeePassが盗まれた際の残された保護階層は、

      • 時間稼ぎ
      • 遠隔消去チャンス
      • クラウドのパスワードを変更する(1日以内)

      ですかね。十分なような十分じゃないような感じですが、スマホ自体のロックもありますし、1日あれば十分なはずです。
      これだったら、私は現時点でスマホ用にもクラウドのアカウントが記入されているので、ちゃちゃっとクラウドの情報を変更して、そのあとにモバイル用と分けているので少ないアカウントのパスワードを変更して終わらせると思います。
      その際はクラウドにログインした履歴があるはずですし、そこを見て問題なければ大丈夫でしょう∩(・∀・∩

      こういうのがあると2段階認証アプリがスマホに集結しているから、YubiKeyが圧倒的に強いんですよね。時代はセキュリティキーかなぁ。

      もちろんこの素晴らしいサイトの至るところにこの事に関する注意喚起、対策は示されていて、勉強になりました。
      ただこの手の不安は完全体所有者にはあるはずなので、一つの記事にするのもいいのではと思います(体の良い情報の催促)(´∀`*)

      なるほど……、そのようなセキュリティの心得アプローチ大事ですね。
      よくよく考えると「パスワード管理ソフトの安全性」を述べる記事がまさにそれで大人気、トップ5もソフト説明じゃなくて不安払拭系ばっかりですね……。みんな悩んでる!
      KeePassとか機能そのものを紹介する記事は手間が膨大なのに人気じゃないし、そもそものアプローチを間違っていたようです。
      まったく気づかなかった……(゚´Д`゚)゚。 ちょっとセキュリティソフトとyubikeyとかほどほどにやったら、そっちの路線でアクセス数稼ごうかな……