Caq’s Blog

Just another WordPress.com weblog

Archive for 11月 2009

Macのmono上で動くKeePass 2.xは使えない

leave a comment »

なぜなら、コピー&ペーストできないから。

書き込みは出来る。見るのも出来る。でも、コピーできないのでパスワード管理ツールとしては致命的。(あと、どうもキーデータベースに保存できていない。ファイルは作成されるが、中身がからっぽになる。Dropboxで共有してたからかもしれないけれども)

Windows向けのソフトウェアがそのまま動くのははっきり言って感動モノで凄いのは判るのだが、使いものにはならない。実に残念。

Windowsがメインの人はKeePass 1.xを利用しておいて、MacはKeePassXで運用するのがよいと思う。auto-typeが使えないのは残念だけど、普通に使える。(オートコンプリートと併用すればほぼ問題なく運用できるんだけども……)

Written by cube3x3x3

11月 20, 2009 at 8:23 am

カテゴリー: investigation

ブラウザのオートコンプリートは本当に危険なのか?

leave a comment »

まず当然のことながら、ブラウザのオートコンプリートでアカウント名とパスワードを自動入力させる、というのは、アカウント名とパスワードが保存されているということに他ならない。これは(大抵は)ハッシュで保存されてるサーバ側とは異なる。平文保存にせよ暗号化されているにせよ、そのアカウント名とパスワードは結局オートコンプリートされる。

IEのオートコンプリート(やMicrosoft諸々のローカルに保存されているパスワード関連)は、レジストリに暗号化されて書き込まれている。が、もちろん本人のログイン情報で復元できる。それを利用したソフトも、あるし仕組みも一般常識レベルと言って良い。

FireFoxのパスワードは普通に誰でも見ることが出来る。ツール>オプション>セキュリティ・タブ>保存されているパスワード>パスワードを表示する でバッチリ一覧表示される。マスターパスワードの設定も出来るのでちょっとだけ安心だけれども、結局マスターパスワード入力後には表示される。

Google Chromeのパスワードも、誰でも見ることが出来る。設定>オプション>個人設定・タブ>パスワード:保存したパスワードを表示>(サイトを選択してから)パスワードを表示 でそのサイトのユーザ名とパスワードを対比させて見ることが出来る。

さて、ではなぜ表示されるのか。それは、別に見られても良いからではないだろうか。

そもそも誰が触っているか定かではない共用マシン(例えば漫画喫茶のPC)でパスワードを入力するのは危険だ。なぜならば、何が仕込まれているか判らないから。被害も起きているのでこれは現実の脅威といえる。つまり、安全なマシンに対してしかパスワードを入れてはならない、というのは前提と出来る。危険なPCで安全にパスワードを入力する手段がないので、オートコンプリート以前の問題だからだ。

前提となる安全なPCとは、「何も仕込まれている恐れがないPC」だと言える。ここを出発点に考えてみよう。まず簡単のために以下の4通りを検討する。(今は安全だけど後日危険になる、などは後で検討)

  1. PCは安全だが、サーバが危険な場合
  2. PCは安全かつ、サーバも安全だが、経路が危険な場合
  3. サーバにアタックされる場合
  4. PCにアタックされる場合

1の「PCは安全だが、サーバが危険な場合」は、オートコンプリートとは関係なく防げない。サーバにはパスワードを渡してしまうからだ。ドメインが同じならオートコンプリートしてしまう(facebookやwiki系など、ドメインが同じだけど入力するパスワードが異なる場合に脅威になる)問題があるが、これはフィッシングと同じ。

2の「PCは安全かつ、サーバも安全だが、経路が危険な場合」は、オートコンプリートとは関係なく防げる。SSLに(PCとサーバとの間を暗号化して繋ぐ)すれば良いからだ。中間者攻撃(PCとサーバの間で中継してパスワード他を盗む)や、なりすまし(繋ぐサーバが期待しているサーバではない)の場合は、サーバが危険な場合と同じ。

3の「サーバにアタックされる場合」は、オートコンプリートとは関係なく防げる。これはサーバ側の作りの問題だが、普通はパスワードをハッシュして(不可逆な形で)保存するので、サーバに保存されているハッシュが流出してもパスワードはバレない。いずれにせよオートコンプリートとは関係がない。

4の「PCにアタックされる場合」は、オートコンプリートに関係する。なぜならば、PCにパスワードが保管されているからだ。ちなみにこれは、「今は安全なPCだが、ある日危険なPCになる」と同じだ。

さて、ここまでで「オートコンプリートが危険なのは、PCが危険な場合」と言えることが判る。ネットワークの外とは関係なく、PCの話になるわけだ。そこでさらにPCが危険なのはどんな場合か考えてみよう。

  1. 自分のアカウント(ログイン環境)は安全だが、悪意有るユーザもアカウントを持っている場合
  2. 自分のアカウントは安全で、悪意有るユーザも居ないが、悪意有る人間がPCに触れる場合
  3. 自分のアカウントを、悪意のある他人も使える場合
  4. 自分のアカウントを、悪意のない他人が使える場合
  5. 自分のアカウントが危険な場合

1の「自分のアカウント(ログイン環境)は安全だが、悪意有るユーザもアカウントを持っている場合」は、判りやすく言い直せば「家族別にログインユーザを作っていて、妻が夫をこっそり調べようと思った場合」である。子供が親から査察を受ける、なんてのでも良い。この場合、OSや環境に寄るが、相手のブラウザ環境に触れる場合は、オートコンプリートによるパスワードの保存は危険だといえる。(安全なモノも危険なモノもあるので、個別調査が必要)

2の「自分のアカウントは安全で、悪意有るユーザも居ないが、悪意有る人間がPCに触れる場合」これは、遊びに来た友人がパスワードを盗もうと思った、等の場合である。これも個別事例だが、OSのログインパスワードが防御ラインになるだろう。もしくはOSそのものを別途動かされてしまう(1CDLinuxやUSBOSは珍しくない)場合は、データが読み取られるかどうかが防御ラインになる。オートコンプリートと関係ないとも言えるし、関係あるとも言える。

3の「自分のアカウントを、悪意のある他人も使える場合」は、明らかにオートコンプリートによるパスワードの保存は危険であろう。最初に書いた方法で見ることが出来るわけだから。

4の「自分のアカウントを、悪意のない他人が使える場合」は、オートコンプリートとは関係ない。が、うっかりと開いてしまう可能性がある点で、危険だといえる。

5の「自分のアカウントが危険な場合」はトートロジー。危険なのだから危険。

上記から判ることは、「PC上に保存されているパスワード情報にアクセスされると危険」だと言える。当たり前といえば当たり前の結論だ。しかしこれは、前述した「危険なPCで安全にパスワードを入力する手段がない」のだから、オートコンプリートの問題以前の問題であるとも言える。

危険なPCではどのような手段を使ってもパスワードは危険なのだ。例えば、ログイン環境にキーロガーを仕込まれた場合は、オートコンプリートよりもキーによる入力の方が危険になる。(キーロガーを仕込まれる以前にオートコンプリート情報を登録していた場合)

1番の「悪意有るアカウントの人間に触られる」のは、OSのユーザアカウント情報が区分けされていないのが問題である。2は、PCそのものを危険にさらしている。(4は、うっかり見られるような状態で人に貸すのが悪い)

ブラウザがオートコンプリートのパスワードを平文で見せてしまうのは、1,3,4,5番である。アカウント=本人確認が済んでいるユーザという認識であればそういう設計もアリだと言える。上記の中で現実的な脅威は1と2。つまり、共用ユーザが悪意を持っている恐れがあるか、盗まれたり離席中にイタズラされる可能性がある場合は、オートコンプリートによるパスワードの保存は危険であるといえる。

簡単に言えばPCそのものに悪意をもった人が接近できる環境下では危険だ、と言える。これはしかしオートコンプリートに限った話では無くPCに保存されている全ての情報について同じ事が言える。

オートコンプリートは確かにPCを盗まれたりイタズラされる環境下では危険な機能だ。しかし、その危険性とは、PCに入っている全ての情報にとって同じである。見られて恥ずかしい写真を暗号化して保存していたり、会社のPCに入っている情報は全て暗号化されている、とかでない場合は、さほど気にするほどでは無いのかも知れない。(盗まれる可能性のあるPCは、がっちり暗号化して守っておくこと、という面白くない結論に落ち着いてしまったな)

Written by cube3x3x3

11月 19, 2009 at 12:40 pm

カテゴリー: investigation

MacのKeePassXはauto-type(フォームへの自動入力)が動かない

leave a comment »

恐れていたとおり、現時点(2009/11/19)では、KeePassX for Macはauto-typeが動かない。KeePassXの掲示板でも2009年2月リリースのBetaで未対応について聞かれて「やろうとは思ってるけど、方策もたってないし何時までにとは言えないよ」という開発者(?)の返答が入ってる。リソースも少なそうだし、KeePass 2.xのデータベース対応が先っぽいのでたぶん2,3年はかかるんじゃないかな。(自分で作らない限り)

ただし、KeePass 2.x系列をmonoで動かすのはやっていないので、もしかしたら動くかも知れない(かすかな希望)。1Passwordの寡占になっているのは、フォームへの入力が難しいからなのか市場が小さいからなのか・・・・・・

あ、もちろんKeePassXはauto-typeが動かない以外は問題ない。管理ツールとしては必要最小限と言えなくもない。ブラウザにパスワードを覚えさせたまんま運用する人には便利だと思う。Password Generatorもちゃんと動く。(妙に乱数にこだわりのあるKeePass 1.xよりも使いやすいくらい) Windowsとの連携については別Postで。ブラウザにパスワードを覚えさせたままの運用とか乱数とかパスワードの質に関してもそのうち。

Written by cube3x3x3

11月 19, 2009 at 3:11 am

カテゴリー: investigation

Tagged with

パスワード管理システム関連

leave a comment »

 

Lastpass onlineパスワード管理。https://lastpass.com/

基本的にはブラウザ拡張機能だが、ブックマークレットもある。Chromeの拡張にも対応済み。

LastPass v1.60.0

USBキーのポータブルFirefoxに載るLastPass(他のコンピュータでインストールすることなく携帯アクセス) :

あなたのデータにアクセスするためのオフラインアクセス用LastPassポケット(USBメモリ/バックアップドライブをつける)

USBメモリを使ったマルチファクター認証のためのLastPass Sesame (requires LastPassプレミアム)
LastPass for iPhone v1.60.0 (Requires LastPassプレミアム)

LastPass for BlackBerry v1.51.6 (試用期間14日間、 LastPassプレミアム それからこれ)

LastPass for Windows Mobile v1.51.6 (試用期間14日間、 LastPassプレミアム それからこれ)

LastPass for Android v1.51.6 (試用期間14日間、 LastPassプレミアム それからこれ)

LastPass for Symbian S60 v1.51.4 (試用期間14日間、 LastPassプレミアム それからこれ)

https://lastpass.com/download.php?platform=win&browser=sf&done=1

http://en.wikipedia.org/wiki/LastPass

iKeePassは、githubのソースコードを消すらしい。AppleStoreとの絡み?(http://ikeepass.de/bl0g/?p=143#comments

Dropboxとの連携とかも書いてるので、USAとCANADAでは結構売れるんじゃないかな。http://ikeepass.de/

フリーのツールでは、KeePassが群を抜いてる。http://keepass.info/ http://en.wikipedia.org/wiki/KeePass ただ、Windows版のみなのでKeePassXを使うことになりそう。http://www.keepassx.org/start/ こいつ、KeePass2.xのファイルが読めないとか書いてあるっぽいのが残念なんだよな・・・・・・ 使ってみて判ったが、自動入力がLinuxOnlyなので使い勝手が悪い。KeePassは自動入力してくれるので、Windowsで使う分は何の問題もない。ただ、Macで使うときに自動入力が使えないとなると結構厳しい気がする……あっちもこっちもという訳にはいかないか。

KeePass1.xと2.xとの判りやすい比較記事 http://www.downloadatoz.com/howto/keepass-1-vs-keepass-2.html

常時MacとWindowsとで同期をとらなければならん、というわけでもないので、1Passwordを普段使っておいて、KeePassXにデータを移動、windowsではKeePass1.xを使用する、とかの運用がベターかもしれない。

この記事はWindows Live Witerで書いてる。結構使いやすい気がする。Windowsのエディタはこれで充分というかかなり凄いなこれ。Mac版が欲しい。 http://download.live.com/writer

Written by cube3x3x3

11月 18, 2009 at 3:33 am

カテゴリー: investigation

調査したパスワード管理ツールのURL一覧

leave a comment »

後日まとめたりするけど、まずは一覧。

1passwordの紹介
http://lifehacking.jp/2008/04/1password/
1password3betaのダウンロードページ
http://agilewebsolutions.com/products/1Password/beta
passwordsafe vs keepass password safe
http://www.codejacked.com/passwordsafe-vs-keepass-password-safe/
KeePassX
http://www.keepassx.org/
KeePassXの紹介
http://www.moongift.jp/2007/06/keepassx/
UbuntuでKeePassXを使う
http://darasuke.blogspot.com/2008/03/keepassxubuntu710.html
UbuntuアプリでKeePassX
http://ubuntuapps.blog67.fc2.com/blog-entry-70.html
iKeePass(iPhone用)
http://ikeepass.de/
iKeePassソースコード(GPL)
http://sourceforge.net/projects/ikeepass/develop
Password Gorilla
http://www.fpx.de/fp/Software/Gorilla/index.html

Written by cube3x3x3

11月 16, 2009 at 3:47 pm

カテゴリー: Uncategorized

password管理ツール

leave a comment »

調査結果をまとめておこう。
まず前提としてパスワード管理マネージャを使うと便利だ、というのがある。
今は、ランダム十文字のパスワードを5つばかり頭に入れてある。あとは英字のみ8文字パスワード。この6つを使い回してサービスを利用している。でもときどき「数字も入れろ」とか「記号は駄目だ」とか「6文字以上10文字以下で」みたいな不思議な制限がかかっていたりする。パスワードまんま保存してるとんでもないところもあるし。
メールやオークションなど、蓄積の結果、盗られたら困るIDも増えてきた。そこでパスワード管理マネージャを使用する。
(一カ所のアカウントが盗られることで、全てやられる可能性を減らす。アカウント名が同じだと一気に抜かれるから)

次に、パスワード管理マネージャの現状をまとめる。

MacにはOS付属のアプリケーションに、キーチェーンという、パスワードとアカウントを組み合わせて保存するものが存在する。ただし、単なるDBなのでUIは悪いし、自動で生成もしないし、入力の自動化もしない。
自動化さえ無視できるならMacの場合はこれのみで問題ない。メモも、クレジットカードなんかも保存しておける。

1Passwordというアプリケーションがある。$40.
http://agilewebsolutions.com/products/1Password
さっきのキーチェーンにかぶせて使うアプリであって、キーの生成、保存、コピーや自動入力などなどが使える。各方面で絶賛されている(http://lifehacking.jp/2008/04/1password/)ので良いアプリっぽい。
iPhone版も存在する(http://www.switchersblog.com/2009/06/a-tale-of-two-1password-touches.html)ので、使用において問題になることはほとんどないだろう。

しかし、1password-toucheは無料から$5.になり、Proも出てきてそのうち$14.になるとか。もちろん機能にお金を払うのは健全な気もするし次の開発につなげて欲しいところではあるが、向こうの都合で値段が変わっていくのはちょっと困るところではある。
そしてMacのみである。MacとiPhoneなりで完結している人には問題ないが、という点。ここで「いろんなアプリケーションで使えないと困るのでは?」という方針が。

Password safeというパスワード管理ツールがある。これはWindows版。かなりエポックメイキング的なオープンソースだったらしい。
http://sourceforge.net/projects/passwordsafe
現在はJava版を開発中とのことで、いろんなところへの移植を念頭に置いているらしい。ただし二年以上開発してもまだメジャーバージョンは0のまま。

で、こいつを元にしたと思われるkeepass passwordsafeってのがある。これもWindows版。
http://sourceforge.net/projects/keepass
これはかなり便利に使われている。WIndowsではほぼデファクトと言って良いんじゃないかな。

しかしこれはまたWindows版のみってのが問題になる。Webサービスは大量にあるのに、OSに縛られるのじゃ意味がない。しかしパスワード管理ツールをネット上に置くのには抵抗がある。(しかし今度調べないと)
すると、いろんなところで使えるソフトを調査する必要が出てくる。

password gorillaというツール。マルチプラットフォームなのを売りにしている。Password safe互換ファイルも扱える。
http://www.fpx.de/fp/Software/Gorilla/index.html
「Now Available for Microsoft Windows, Mac OS X, Linux, Solaris, *BSD, etc.」なので結構いろいろ使える。
ただし個人開発かつシンプルなのを目指しているようだ。そしてiPhone版は無い。

めんどいんで結論。keepassのマルチとかiPhoneとかが開発進んでる。
http://www.moongift.jp/2007/06/keepassx/
http://ikeepass.de/
開発者が多い、ソースを読んでる人が多い、それなりに使われてて問題点が潰されている。ので、便利そうな気がする。

ただし、まだスペック調査なので実際に使用しての調査になっていないので、そこからかな。
・現在のパスワードをどう管理するか
・定期的な変更が便利に行えるか
・記入は?
・ほかのOSにどうもっていく?
などなど。
「ノートPCが持って行かれても問題ない」「iPhoneでも使える?」「MacとWindowsでも同じく使える」「アカウント管理ができる」などなどを念頭にチェックしてみよう。場合によっては「Macでしか管理しないアカウントはこっち」「弱いパスワード管理はこっち」などのつかいかたも有りかもしれない。

***
記事にするのと調査結果をまとめるのはやっぱり違うのがなあ。しかもTwitterにながすのともやはり違う。
「コード書き」「他人の為の記事」「自分の覚え書き」は全部違うような気がする。一貫性が重要だと最近思う。

Written by cube3x3x3

11月 15, 2009 at 10:06 am

カテゴリー: Uncategorized