私は良いパスワード マネージャーを探し回っています (はい、私はうるさいです)。そして今日、興味深い問題に遭遇しました:
- パスワードは Google パスワード マネージャーに保存されています。
- いくつかのサイトでは、LastPass を使用して感触を確かめています。
- GooglePass から保存して読み込んだ認証情報を使用して新しいサイトにアクセスすると、LastPass はエントリを保管庫に保存することを提案します。保存すると、エントリは読み取り可能になり、暗号化解除されて、一目瞭然になります。
- GooglePassに保存された認証情報は、Google/Microsoftのユーザー名/パスワードで暗号化されるはずなのでLastPassがそれらを読み取る方法? それらは画面上で「隠されて」おり、LastPass はそれらを「知りません」。GooglePass でそれらにアクセスするには、PC アカウントの認証情報を提供する必要があります。LastPass が問題なく (読み取って) いるのはなぜでしょうか? 何かを解読できますか? パスワード ボックスに送られた ASC 文字は、ドットや星として画面上で「隠される」前に読み取ることができますか? 保管庫に保存したくないパスワードの保護はどうなりますか?
私は「限定的な信頼」という前提で行動しているので、少し混乱しています。ここで何か明らかなことを見逃しているのでしょうか?
ありがとう!
答え1
ウェブサイトのパスワード フィールドに入力されたデータはプレーン テキストで、読み取り可能です。画面上ではドットとして表示されるため、肩越しに読み取ることはできませんが、メモリ内ではエンコードも暗号化もされていません。ブラウザは、ログインできるようにこのプレーン テキスト バージョンをサーバーに送信する必要があります。暗号化された値を送信しようとすると、ウェブサイトはログイン要求を処理できません。
パスワード マネージャーは、ブラウザーのメモリから、またはログインするために行われた HTTP リクエストを調べることによって、ユーザー名とパスワードを取得できます。パスワード マネージャーは、これを実現するためにブラウザー拡張機能をインストールする可能性があります。