Scribble at 2022-01-20 12:45:52 Last modified: 2022-01-20 12:49:33

Bitwarden というオンラインのパスワード管理アプリケーションは、以前も取り上げたと思うのだが、なかなか興味深い。使いたいという意味ではなく、従来の 1password のようなオンライン・サービスは具体的な秘密情報の管理方法が分からなかったが、Bitwarden はオープン・ソースなので、どういう仕方でデータをストアしたり管理するかが〈見える〉という意味で興味深い。もちろん、僕はオフラインの管理が（一般人や素人にとってだけでなく、おそらくプロの技術者や実務家にとってすら）有利だと思っているのだけれど、比較する相手の中身が分からないままでは、あまり良い比較にはならない。

端的に言うと、オンラインのアプリケーションは、自分という特定のユーザに対する攻撃でなくても他人に対する攻撃が成功すれば、自分の情報も漏洩してしまうリスクがある。外部からの攻撃を想定する限り、メモ帳に書いてある情報をネットワーク経由で盗む方法は、殆ど存在しない。もちろん、パソコンへ入力するときの side-channel attack はあろうが、それはメモ帳ではなくメモ帳を見ながらタイプしたり画面を見ているユーザの挙動を攻撃しているのだ。メモ帳に書かれている文字としてのパスワードを読み取るには、それこそ攻撃対象である人物の同僚や家族を攻撃側に引き込んで、メモ帳をめくってもらい、スマートフォンでメモ帳の中身を撮影でもしてもらわない限り、盗み出すことはできない。

それはそうと、この Hacker News のスレッドでも話題としてあがっている Keepass だが、僕も長らく愛用しているのだが、いまだに名称を "Keepass Password Safe" と表記している。でも、よく考えたら "Password Safe" って、ソフトウェアの名称じゃなくてウェブサイトのタグラインなんだな。思い違いしていたよ。今後は、単に "Keepass" と書くことにする。それに、"Password Safe" といえば、ブルース・シュナイアーが公開している別のパスワード管理ツールのことになるので、ややこしい。