安全のため、Webフォームごとに異なるランダム生成のパスワードを使用しています。これらのパスワードはどれも覚えていないので、パスワードキーパーアプリケーションを使ってパスワード保護された状態で保存しています。しかし、この方法は(パスワードキーパーが開いている間に誰かが家に忍び込んで頭を殴りつけない限りは)かなり安全ですが、自分のコンピューターの前に座っている場合にのみ機能します。どうすれば、どのコンピューターからでもこれらのパスワードに安全かつ確実にアクセスできるのでしょうか?
Clipperz の登場です。
Clipperz のことを初めて知ったのは IT Conversations のポッドキャストでした。その時の私の反応は「なぜもっと早く教えてくれなかったんだろう?」でした。Clipperz は Web アプリケーションなので、ブラウザで操作します。そのため、オンライン パスワードは必要なときに、つまりオンラインであればいつでもアクセスできます。clipperz.com Web サイトにアクセスしたら、ユーザー名とマスター パスフレーズを入力します。当然のことながら、この組み合わせの推測可能性が最も低いため、パスフレーズは長くて不自然なものにする必要があります。ただし、パスフレーズ自体はログイン時に clipperz.com に送信されません
。実際、clipperz.com は
ユーザー名、マスター パスフレーズ、パスワードを一切知りません。
なぜこんなことが起こるのでしょうか? 実は、clipperz.com はいわゆる「ゼロ知識データベース」です。平文では一切保存せず、すべてが暗号化されており、clipperz.com には鍵がありません。保存されるデータはすべて暗号化されており、Clipperz との通信も暗号化されています(SSL で送信されるため、二重に暗号化されます)。暗号化と復号化はすべてユーザー側、つまりブラウザで行われます。これは、現代のコンピューターの速度と JavaScript の実装によって可能になっています(Web ページを変更すると JavaScript のデータが失われるため、Clipperz は AJAX を使用して画面を更新し、ユーザーが同じページにアクセスできるようにしています)。さらに、
一見最も脆弱なリンクである最初のパスワードベースの認証では、セキュア リモート パスワード(SRP)認証が使用されています。これはそれ自体がゼロ知識認証であり(clipperz.com はユーザー名とパスフレーズから派生した公開鍵のみを知っています)、パスワードベースの認証として可能な限り安全です。おそらく、インターネット上でこれまで行われた他のどのパスワードベースの認証よりもはるかに安全です。最後に、Clipperz のコードはすべてオープンソースです。ご存知のとおり、秘密主義によるセキュリティは最悪のセキュリティです。
スクリーンショットは、ログイン後に表示されるシンプルなインターフェースを示しています。情報のわかりやすい「ローロデックス」です。左側の下には「カード」の名前が並んでおり、カードの名前をクリックすると、その「フィールド」が表示されます。パスワードフィールドは常に 6 つの星として表示されるため、これを表示することをためらいません。この星をコピーして (スクリーンショットに示されているように、Control-C ではなく、Command-C を使用して)、別のウィンドウで開いていると思われる Web フォームのパスワードフィールドに貼り付けることができます。(公共のマシンを使用している場合は、パスワードをクリアテキストで残さないように、後で何か別のものをクリップボードにコピーすることを忘れないでください。) また、パスワードを「解読」して、クリアテキストで直接表示することもできます。これは、
敵のスパイが背後にいない限り安全です。
もちろん、この方法で安全に保存できるのはオンラインパスワードだけではありません。クレジットカード番号や、オンライン中に必要になるその他のデータも保存できます。カードのフィールドはカスタマイズ可能なので、特定のデータに適した情報を表示するようにカードを設定できます。
もう一つの便利な機能は、「ワンタイムパスワード」を設定できることです。これは、clipperz.com のログインパスワードで、使用するとすぐに削除されます。スパイ小説を読んだことがある人なら誰でもご存知の通り、ワンタイムパッドは最も安全な暗号化方法です。ですから、公共の場にいる場合は、ワンタイムパスワードのいずれかを使用してください。たとえ後ろに座っているスパイがキーボード上のあなたの指の動きを記憶できたとしても、その情報は役に立ちません。
そして、これがまさにそのおまけです。暗号化と復号化はブラウザ内で行われ、clipperz.com に保存されるデータも暗号化されていると説明しました。つまり、clipperz.com からのデータを自分のマシンに保存してもセキュリティが損なわれることはありません。そして、Clipperz ではまさにそれが可能になります。暗号化されたデータとすべての JavaScript を含む(非常に大きな)Web ページをダウンロードできます。ブラウザでその Web ページを開くと、clipperz.com にアクセスするのと全く同じです。ユーザー名とパスフレーズでログインする必要がありますが、clipperz.com にアクセスするわけではなく、オフラインで作業していることになります。つまり、ダウンロードしたこの Web ページ 1 つで、
これまでパスワード管理アプリケーションが行っていたすべての処理を実行できるのです。唯一欠けているのは編集機能です。つまり、データの読み取り専用コピーを操作することになります。とてもスマートだと思いませんか?
Clipperzは完璧ではありません。暗号化されたパスワードをコピーしても確実には機能しませんが、Clipperzの開発陣は現在「ガンマ」と呼ばれる新しいWebインターフェースの開発に取り組んでおり、この問題を解決しています。テキストファイルから複数のカードをインポートして入力するなど、一部の操作のインターフェースは非常に分かりにくいです(私は成功しましたが、かなりの試行錯誤の末のことでした)。全体的なインターフェースは、残念ながらiPhoneでは使いにくく、モバイル版のWebインターフェースもありますが、私の環境では全く機能しません。最後に、「ダイレクトログイン」という有望な機能があります。これは、リンクをクリックするだけで、ユーザーが何も操作することなく、対象のWebサイトのログインページに移動し、ユーザー名とパスワードを入力してフォームを送信できる機能
です。ただし、すべてのWebサイトで機能するわけではなく、ダイレクトログインを編集するためのインターフェースは、使いにくいか存在しないかの中間くらいです(ただし、これも新しい「ガンマ」インターフェースでうまく解決されています)。
細かい点はさておき、Clipperzは私の日々のウェブライフに非常に役立っています。どんなコンピューターを使っていても、オンライン上のパスワードにアクセスできます。無料、オープンソース、安全、そして独創的で、そしてとてもクール。これ以上何を求めるでしょうか? きっとあなたも一度試してみて、なぜもっと早く教えてくれなかったのかと不思議に思うでしょう。