ユーザが使用するすべてのWebサイトのパスワードを同じにすることはセキュリティ上望ましくないが,かといってユーザ側の負担が大きく,個々のサイトに異なるパスワードを生成して使用することは困難である.その問題を解決する方法として提共されているのが GenPassである.
GenPass: A Password Generator - http://labs.zarate.org/passwd/
パスワード生成器とあるが,生成だけでなく管理も兼ねていると言えなくもない.
これは、もともとPhishing対策のためのシステムであり、その基本アイデアは「パスワードの生成に対象WebサイトのURLを使用する.すると、URLが違うサイト(例えばPhishingサイト)でパスワードを入力しようとしても、正しいパスワードが生成されないため、Phishingによりパスワードが漏洩する事態を回避可能になる」というものである.つまりマスターパスワードとURL情報を基に、何らかの処理を行ってパスワードを生成する.するとユーザは、マスターパスワードだけを覚えていればよく、かつ複数のWebサイトの認証に異なるパスワードを割り当て、利用する事が可能になるというものである.
実装はWebブラウザ上で動作するbookmarkletとして実装されており,パスワードを必要とするWebページにアクセスした上で,そのbookmarkletを実行するとパスワードが生成され,passwordフィールドにそのパスワードが入力された状態になるというツールのようである.
なおbookmarkletを実行すると,すぐにパスワード入力済み状態になるが,それではセキュリティ上不安だという場合は,bookmarkletを実行すると,マスターパスワードを聞いてくるようにすることもできるようだ.このマスターパスワードを正しく入力した場合だけパスワードがパスワードフィールドに入力された状態になる.また現在アクセスしているWebページのURLが使われているので,各サイト毎にパスワード生成用のbookmarkletを作る必要はない.
私感だが、よくできていると思う.
FirefoxなどWebブラウザのパスワードマネージャと比較すると安全性はどうなのだろう?
- パスワード情報を計算機内のハードディスクに記録しない
- どちらもマスターパスワードが見抜かれたらアウト
- このツールを使っているWebサイトがわからなければパスワードCrackingはできない
だからより安全だと言うこともできるが,Webブラウザの閲覧履歴がそのURL発見を容易にしてしまうかもしれない.でも,その閲覧履歴から当該URLが見付からない場合もあるだろうから,そういう意味では,やはり本ツールの方が安全性が高いと言ってもいいのではないだろうか?
なおMobile versionもあるが,これは普通のCGIプログラムのようである.ということは,このパスワード生成システムを自身が管理するWebサイトに設置し,かつSSLを使って運用しないと安全性に疑問が残ることになる.このモバイル版と同じようなシステムをここにも見つけた.
Password generator - angel.net
hashapass - www.hashapass.com
おなじようなことを考えている人は結構いるようで,実装もいくつかありそうだ.
angel.netの実装にはGoogle gadget版もある.
またこのツールの改良版 SuperGenPass も公開されている.
SuperGenPass(beta2) - http://labs.zarate.org/passwd_new/
Posted by z at January 8, 2007 11:27 PM