Scribble at 2022-05-08 13:01:17 Last modified: 2022-05-08 13:03:21
こういう素人の記事は信頼しない方がいい。「忘れたら同じことなので強いパスワードを使う方がいい」というのは、ひろゆき的な(リバタリアン的な)割り切りで、いまどきの若者の共感を得やすいクールなロジックなんだけど、そのあとに書かれているのは情報セキュリティとしてはデタラメ。
「一瞬でフォームにパスワードを(代わりに)入力してくれる」ということは、その間に引っこ抜かれるリスクがあるわけで、あらゆるサイトのパスワードを同じように自動入力させてるなら、その 1password のアドオンをハックするだけですべてのサイトのログイン情報を抜き取れることになる。ブラウザが保存するデータをアドオンが引っこ抜くのは構造として難しくなってるけれど(サンドバック式なので)、アドオンの情報を抜くのは色々なやり方がある。1password のアドオンのアップデートを促す偽のメールで、偽のアドオンにアップデートさせるとか、簡単にひっかかる人も多い。1passowrd が credentials をクラウド・ストレージに保存していないとしても、それだけで〈他人に攻撃されない〉なんて理由にはならないし、1password へアクセスするための認証情報が攻撃されない理由にもならず、したがって保存したパスワードを復元する処理が第三者から抜き取られないなんて保証もないのだ。
もともと、Facebook で書いた話なんだけど、たぶん僕が言ってる内容を補足の説明もなしに理解できるとすれば、当サイトにアクセスしてる人たちの方だろう。