最近、パスワード マネージャー、具体的には LastPass を使い始めました。アプリが内部的にどのように動作してパスワードを保存、暗号化し、アクセスできるようにするかは理解しています。直感的にわからない質問ですが、アプリのログインを作成するための最適なポリシーは何ですか。
もちろん、LastPass アカウントを作成するにはメール アカウントを使用する必要があります。懸念されるのは、そのメール アカウントのログイン認証情報を LastPass に保存した場合、マスター パスワードを忘れるとメールにアクセスできなくなることです。メールにアクセスできないということは、LastPass アカウントを回復する方法がないということです。一方、メール ログインを独立させておくと、LastPass アカウントはメール パスワードと同じくらい安全です。
メール アカウントと LastPass アカウントには、それぞれ 2 つの異なる強力なパスワードを設定する必要がありますか、同じパスワードを使用するべきですか、それとも LastPass にメールのログインを作成させるべきですか? 最初の選択肢では、2 つの異なる複雑なパスワードを覚えるのが難しくなります。他の 2 つの選択肢には、パスワードの回復が必要な場合に明らかな欠点があります。
答え1
LastPass は電子メール アカウントのパスワードのみを保持し、電子メール アカウントにログインするときに手動でそのパスワードを入力することを妨げるものは何もありません。
マスター パスワードを忘れると、実際にはフォーム入力とパスワードの LastPass データベースへのアクセスが拒否されますが、LastPass にフォームとパスワードを保存したサービスはブロックされません。
パスワードをどこか安全な場所に保管し、適切なヒント(パスワードとまったく同じではないもの)を定義しておくことは依然として良い考えです。過去に起こったことですが、LastPass がハッキングされた場合、危険にさらされるのはヒントだけです。
LastPass が保存するデータは暗号化されており、パスワードがなければ、LastPass の Web サイトをハッキングしてデータを入手した人でも使用できません。
私はパスワードの再利用に強く反対しているので、LastPass とメールに同じパスワードを再利用することはお勧めしません。攻撃者は、1 つのパスワードを解読するだけで、複数のアカウントにアクセスできるようになります。
LastPass では、サイトごとにパスワードを生成するオプションが提供されています。これも好きではありません。これらのパスワードは長くて意味がないので、覚えるのは不可能です。つまり、メールにアクセスするには LastPass しか使用できず、メールを参照するすべてのデバイスに LastPass をインストールする必要があります。
覚えやすい文章にウェブサイトの名前の一部を埋め込むことで、ウェブサイトの覚えやすいパスワードを簡単に作成できます。たとえば、「++これは com ドメインのスーパーユーザーのパスワードです!!」は覚えやすいですが、機械的に解読することは不可能です。LastPass を使用するとログインが容易になりますが、必須または代替不可能というわけではありません。
答え2
LastPass はパスワードのみを保存します。パスワード ジェネレーターを使用する場合でも、これがログインする唯一の方法ではありません。LastPass がなくても、GMail または Outlook に手動でパスワードを入力することは可能です。
私はメインのメールを使用し、それを LastPass に保存し、メールとマスター パスワードを書き留めて金庫に保管します。
編集: harrymc さんが私より先にこの質問に答えていたことに気付きました。