複数パスワードの管理を可能にするサービスとしてPassPackが紹介されていた.
Webサービスのニューフェース"PassPack" -- 複数パスワードの管理ならおまかせを! (MYCOMジャーナル)
PassPackのWebページはこちら
https://www.passpack.com/
Webサービスとしてはよくできているようだが,パスワード管理システムとしては,Webベースになっただけで,別段の新しいアイデアではないように当方には見える.もちろん,確かにいくつかの計算機環境を持っていて,パスワードの管理(共有)に困っている場合は一考の余地があることは理解できる.
パスワード管理ツールとして,別段新しいと思えないのは,やはりアカウントとパスワードを暗号化して保存しておくだけだからだ.保存する場所が,自分の計算機内か,あるWebサーバ上かという違いだけである.もちろん,あるWebサーバ上にまとめて管理しておけば,自分の計算機を持っていないときや,インターネットカフェからでもパスワードを知ることができるので,それはそれで便利であることは理解できる.が,それがセキュリティ向上につながるのか? と問われると,かならずしもそうとは言えないだろう.ようするに,ここにもセキュリティとユーザビリティのバランス問題があるというわけだ.
ただし,こうやってWebサーバにパスワード情報を置くと,第三者によってbrute-force攻撃される可能性や,そのWebサーバを管理している管理者が悪さをした場合,やはり不安は残る.自分の安全を守るための秘密情報を,自分の管理下に置いておけないと,それなりの危険性が残るということをどれだけの人が理解しているだろうか? AESで暗号化されているからといっても,そのpackingに使われるパスワードを生成し,付与するのはユーザだ.だということはbrute-force攻撃や辞書攻撃で多くのユーザのパスワード情報が暴かれてしまう可能性はそれなりにあると推測する.つまり,データが暗号化されていたとしても,それが亜杭を持ったユーザに渡ったり,そういったユーザがアクセスできる環境に置いてしまうと,それなりのリスクをはらむことになる.というわけで,個人的には,自分がそのWebサーバの管理者でなければ,こういったサービスは使いたいとは思わない.こういうサービスは,一見便利だが,そういう危険性もあるということを理解しておく必要はあるだろう.
しかし,システムとしては非常に興味深いし,よくできていると思う.FLOSSプロジェクトというものがあることや,JavascriptでAESが使えるということをこの記事ではじめて知りました.世の中,まだまだ知らないことばかりなり